Новый троян Ghimob может шпионить за 153 мобильными приложениями и извлекать пароли

Исследователи безопасности обнаружили новый, очень опасный банковский троян. Угроза по прозвищу Гимоб нацелена на мобильные телефоны и планшеты.

Ghimob - это троян для удаленного доступа, который предположительно происходит из Бразилии. Злоумышленники, стоящие за этим, пока что развернули Ghimob в странах Латинской Америки и Европы, но ожидается, что вредоносная программа вскоре поразит жертв в США.

Троянец нацелен на устройства Android и распространяется через вредоносные электронные письма. Фальшивые электронные письма пытаются напугать жертву, заставив ее думать, что у нее есть какой-то неоплаченный долг перед финансовыми учреждениями. Тактика запугивания - распространенный инструмент социальной инженерии, который часто работает на удивление хорошо.

Как только обеспокоенный пользователь переходит по вредоносной ссылке, содержащейся в электронном письме, троян загружается и развертывается на мобильном устройстве. С этого момента у Ghimob есть более-менее полный доступ к телефону или планшету.

Вредоносная программа способна шпионить за более чем 150 различными приложениями для Android. Его вредоносные возможности также включают доступ к микрофону и возможность захвата любого текста, вводимого вручную на устройстве, включая пароли. Удивительно, но исследователи также утверждают, что RAT может даже захватывать шаблоны и формы смахивания экрана блокировки. Ghimob также предположительно может использовать функции биометрической разблокировки, используя поддельный черный экран, который незаметно запускает банковское или финансовое приложение и заставляет пользователя думать, что он разблокирует свой телефон , в то время как на самом деле он использует свой отпечаток пальца, чтобы предоставить доступ к конфиденциальному приложению.

Гимоба очень сложно обнаружить

Тот факт, что Ghimob не имеет доступа к банковским счетам через внешние устройства, а использует признанное и законное устройство владельца счета, очень затрудняет обнаружение. Меры онлайн-безопасности, применяемые многими финансовыми службами, никогда не вызывают тревогу при использовании распознанного устройства, что делает RAT очень опасным.

Исследователи Kaspersky заявили, что, по их мнению, новый троян исходит от бразильского злоумышленника Guildma. Группа известна исследователям и в прошлом была связана с множеством других банковских троянцев. Хотя раньше Guildma запускала свое вредоносное ПО в основном в Бразилии, похоже, что группа расширяется и тестирует свое вредоносное ПО на новых территориях.

Нет никаких веских доказательств того, что Гимоб когда-либо использовался для лечения жертв в США.