Ghimob to niebezpieczny trojan, który wyspecjalizował się w śledzeniu operacji związanych z bankowością elektroniczną. Jest o tyle groźny, że jego wersje udają istniejące aplikacje.
Ghimob to trojan, który ma postać pakietu umieszczonego w pozornie niewinnych aplikacjach - a jest ich ponad 150. Szkodnika wykryli badacze z firmy Kaspersky i stwierdzili, że stoi za nim ta sama grupa, która stworzyła podobny malware na Windows - Astaroth. Po instalacji aplikacji, szkodnik rozpoczyna swoje działanie, przekierowując użytkownika na ustalone strony. Początkowo wymierzony był w banki znajdujące w Brazylii, jednak w miarę upływu czasu zaczął "interesować się" bankami również w Niemczech, Portugalii, Peru, Angoli i Mozambiku. Jest zatem możliwość, że obejmie swoim działaniem kolejne kraje w Europie.
Aplikacje zawierające Ghimbo udają zwykłe narzędzia dla użytkowników i mają takie nazwy, jak WhatsApp Updater, Flash Update, a nawet Google Defender czy Google Docs. Każda z nich wymaga przyznania szeregu uprawnień, których następnie używa do przekierowań i kradzieży danych wpisywanych przez użytkownika. Oprócz klasycznej bankowości internetowej interesuje się także portfelami kryptowaluty. Zebrane dane przesyła na serwer twórców malware, którzy mogą zrobić z nich użytek.
Zobacz: Rosyjscy hakerzy stworzyli osiem nowych szkodników malware
Niektóre odmiany szkodnika potrafią przejąć całkowicie kontrolę nad urządzeniem, co umożliwia atakującym pomyślne przejście autoryzacji dwuetapowej. Badacze z firmy Kaspersky zauważają, że jest to kolejny szkodnik z Brazylii, który opuścił granice tego kraju i zaczął rozpowszechniać się po świecie. Co jest pocieszające w tej sytuacji - żadnej z podrobionych aplikacji nie ma w Google Play Store, a więc ryzykują tylko te osoby, które instalują aplikacje z innych źródeł. Oczywiście odradzamy takie działania.
Zobacz: Drovorub - rosyjski malware ukierunkowany na Linuxa, Stoi za nim GRU.
Źródło zdjęć: Bruno Cervera/Pexels
Źródło tekstu: ZDnet