安全研究人员发现了针对巴西、拉丁美洲、欧洲金融机构的四种巴西银行木马—— Tetrade 。四个月后现在的发现表明，犯罪分子已经变更了策略，以图用间谍软件感染移动设备。

据卡巴斯基全球研究与分析团队(GReAT)称，位于巴西的威胁组织Guildma已经扩散了这一款新的Android银行木马，

主要针对巴西，巴拉圭，秘鲁，葡萄牙，德国，安哥拉共和国和莫桑比克的金融科技公司、交易所、加密货币机构使用的金融APP。

“ Ghimob是您口袋里暗藏的跃跃欲试的间谍软件：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，

为避免进行机器识别时被黑客钻漏子，金融机构应采取AI人工智能检测措施以及反欺诈行为系统。”网络安全公司在周一的分析时说。

除了与Guildma相同的基础结构，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。

该木马一旦安装在设备上，其功能与其他臭味相投的同类及其相似，通过隐藏应用程序抽屉中的图标来掩饰其存在，滥用Android默认功能来获得持久性，

禁用手动卸载并允许银行木马捕获操作，操纵屏幕内容并向攻击者提供完全的远程控制。

研究人员说：“即使用户有适当的屏幕锁定方式，Ghimob也能够记录下来，然后再播放以解锁设备。”

“当网络犯罪分子准备执行交易时，他们可以插入黑屏作为覆盖，或打开某些网站。当用户查看以上内容，犯罪分子会在后台执行用户所不知的窃取诈骗交易。”

Ghimob的小弟多达153个，分别是不同的金融APP，其中的112个荼毒了巴西的金融机构，剩下的分布在德国、葡萄牙、秘鲁、巴拉圭、安哥拉和莫桑比克的加密货币机构和银行的APP。

卡巴斯基研究人员总结说：“ Ghimob是巴西第一次发现瞄准并成功扩散到其他国家的银行木马。”

“金融以及银行类行业作为特殊行业，应为特洛伊木马防御做好准备，许多国家/地区的银行、金融机构、交易所、加密货币交易所以及信用卡的安全凭证都很脆弱。”