Nowości w branży bezpieczeństwa

Android Trojan GM Bot atakuje polskich użytkowników mobilnej bankowości.

Nikolaos Chrysaidos, 2 listopada 2016

Szkodnik GM Bot atakuje mobilną bankowość użytkowników smartfonów z systemem Android. Avast Mobile Security chroni przed atakami.

W ciągu ostatnich trzech miesięcy, ponad 200 000 użytkowników aplikacji mobilnej Avast Mobile Security zostało ochronionych przed atakiem  trojana GM Bot.
GM Bot, czasami znany również jako Acecard, SlemBunk i Bankosy, wyłudza od użytkowników dane do logowania do internetowej bankowości, podszywając się pod oryginalne aplikacje bankowe. Co więcej szkodnik jest w stanie przechwycić wiadomości SMS, w celu uzyskania kodu uwierzytelniania, dając cyberprzestępcom pełny dostęp do kont bankowych.

Jak się bronić przed tym i innymi podobnymi szkodnikami?

  • Zainstaluj aplikację antywirusową np. Darmowy Avast Mobile Security. Dobra aplikacja antywirusowa wykrywa i blokuje złośliwe oprogramowanie, takie jak GM Bot, zanim to będzie w stanie zainfekować urządzenie.

Pobierz Avast Mobile Security  ZA DARMO
  • Trzymaj się zaufanych źródeł, takich jak Google Play Store i Apple App Store. W ofercie sklepów stron trzecich wprawdzie możesz znaleźć premium aplikacje za darmo lub inne trudno dostępne aplikacje, ale ich oferty mogą być zbyt piękne, aby mogły być prawdziwe. Pobieranie aplikacji z niepewnych źródeł wiąże się z dużym ryzykiem.

  • Bądź ostrożny, którym aplikacjom udostępniach prawa administracyjne. Mogą one przejąc pełną kontrolę nad urządzeniem.
 

Czym dokładnie jest GM Bot?

W skrócie, GM Bot to mobilne złośliwe oprogramowanie, atakujące użytkowników aplikacji bankowych. Przejmuje pełne prawa do aministrowania urządzenia, dzięki czemu może przechwytywać wiadomości SMS i wyświetlać fałszywe nakładki, w celu kradzieży cennych informacji. Po raz pierwszy pojawił się na czarnym rynku na forach w Rosji w roku 2014. Za jego Twórcę uznaje się hakera z pseudonimem GanjaMan.

Jak działa GM Bot?


GM Bot to trojan, który udaje nieszkodliwą aplikację, w rzeczywistości jest bardzo szkodliwy. Dystrybuowany przez sklepy z aplikacjami stron trzecich, które nie mają taki ścisłej kontroli bezpieczeństwa, jak na przykład Apple App Store lub Google Play Store. GM Bot bardzo często ukrywa się w aplikacjach z treściami dla dorosłych lub jako wtyczka w aplikacjach typu Flash.
Po pobraniu, ikona aplikacji znika z ekranu głównego urządzenia, co wcale nie oznacza, że złośliwe oprogramowanie zostało usunięte z urządzenia. Aplikacja uporczywie domaga się praw administracyjnych. Jeśli prawa te zostaną przyznane, złośliwe oprogramowanie może spowodować poważne uszkodzenia.

Admin right request-1.png


Z pełnymi uprawnieniami administratora, GM Bot jest w stanie kontrolować wszystko co się dzieje na zainfekowanym urządzeniu. Szkodnik od razu przystępuje do działania, atakując aplikacje bankowe. Po otwarciu aplikacji GM Bot może wyświetlać nakładkę, która do złudzenia przypomina tą, którą użytkownik zamierzał uruchomić. Użytkownik będąc przekonany, że loguje się do banku podaje cyberprzestępcom wszystkie dane do logowana, logując się de facto na “nakładce” złośliwej aplikacji. To typowa technika inżynierii społecznej, służy do wyłudzania danych osobowych.

Dodatkowo GM Bot potrafi przechwycić wiadomości SMS, niezbędne do podwójnego uwierzytelnienia, dzięki czemu jest w stanie zakończyć transakcję bez wiedzy użytkownika. Szkodnik może przesyłać take dane jak numer CCV, kod pobrany z wiadomości SMS, numery telefonów, numery kart, z powrotem na serwery (C & C).

Info for C&C server.png


GM Bot ewoluuje


Kod źródłowy GM Bot wyciekł pod koniec grudnia 2015 roku, jest więc teraz dostępne dla wszystkich, i niemal każdy z odrobiną wiedzy technicznej może rozpowszechniać złośliwe oprogramowanie. Cyberprzestępcy mogą dalej modyfikować kod, co oznacza, że nowe wersje programu mogą być nieustannie tworzone.


Nasi koledzy z firmy McAfee, odkryli na przykład warianty szkodnika, którego nakładka wymaga od użytkowników zeskanowania dowodu tożsamości. Poniżej podajemy listę banków w Polsce, których klienci mogą paść ofiarą szkodnika

 
  • Comarch
  • Getin Group
  • Citi Bank
  • Bank Pekao
  • Raiffeisen  
  • BZWBK24
  • Eurobank
  • ING Bank
  • mbank
  • IKO
  • Bank Millennium