Een Trojaans paard dat geld van online bankrekeningen steelt vermomt zich als Google Chrome. De malware richt zich op internetgebruikers in Brazilië en Peru en wordt vanaf URLs als facebook.com.br, google.com.br en br.msn.com aangeboden. Hoe gebruikers van normale websites als Facebook en Google naar het kwaadaardige IP-adres worden doorgestuurd om de malware te downloaden is nog onbekend, aldus anti-virusbedrijf Trend Micro.

Zodra de banking Trojan door de gebruiker is geïnstalleerd, stuurt het informatie zoals het IP-adres en computernaam naar een specifiek IP-adres. Ook wordt er aanvullende informatie gedownload. Zodra het slachtoffer een banksite opent, verschijnt er een melding en wordt een valse banksite geladen. De hierop ingevulde inloggegevens worden naar de criminelen gestuurd.

Catchme
Verschillende Braziliaanse banken gebruiken een programma genaamd GbPlugin om klanten tijdens het internetbankieren te beschermen. De malware gebruikt echter de Catchme software van beveiligingsbedrijf GMER om deze plugin te verwijderen.

Catchme is ontwikkeld om malware te verwijderen, maar wordt door de malwaremakers juist gebruikt om beveiligingssoftware te verwijderen. Inmiddels zouden meer dan 3.000 unieke IP-adressen met het Trojaanse paard besmet zijn.