Специалисты Avast Software, выявили более 50 банков, под чьи приложения маскируются аналоги банковского трояна GM Bot для Android. Среди жертв вредоносного ПО оказались клиенты мобильных приложений Citi Bank, ING, Bank of America и других крупных банков в США, Канаде, Австралии и странах Европы.
GM Bot, также известный как Acecard, SlemBunk и Bankosy, обманом выманивает у пользователей банковские данные посредством отображения поддельных страниц авторизации, внешне не отличимых от настоящих. Затем вредоносная программа перехватывает SMS с кодом подтверждения в рамках двухфакторной аутентификации, предоставляя злоумышленникам неограниченный доступ к банковским счетам. За последние три месяца пользователи мобильных приложений Avast столкнулись с GM Bot более 200 000 раз.
Впервые GM Bot появился в 2014 году на серых форумах, а в конце декабря 2015 один из пользователей выложил исходный код вредоносного трояна в открытый доступ. Сегодня практически любой пользователь может распространять вредоносную программу и кастомизировать ее.
После утечки кода эксперты по безопасности зафиксировали значительный рост аналогов GM Bot. По данным исследований Avast вариации GM Bot поражают пользователей мобильных приложений следующих банков:
- США и Канада: BNC, American Express, Chase, CIBC, Citi Bank, ClairMail, Coinbase, Credit Karma, Discover, goDough, First PREMIER bank, Bank of America, JPMorgan Chase, Skrill, Western Union, PayPal, PNC, SunTrust, TD Bank, TransferWise, Union Bank, USAA, U.S. Bank Access Online Mobile, Wells Fargo;
- Австрия: BAWAG P.S.K., easybank, ErsteBank/Sparkasse, Volksbank, Bank Austria, Raiffeisen;
- Австралия: Bank West, ING Direct, National Australia Bank, Commonwealth Bank, Bank of South Australia, St. George Bank, Westpac;
- Германия: Deutsche Bank, ING DiBa, DKB, Sparkasse, Comdirect, Commerzbank, Consorsbank, Volksbank Raiffeisen, Postbank, Santander;
- Франция: ING Direct, Crédit Mutuel de Bretagne, Crédit Mutuel Sud Ouest, Boursorama Banque, Téléchargements, Caisse d'Epargne, CIC, Crédit Mutuel, La Banque Postale, Groupama, MACIF, Crédit du Nord, Axa, Banque Populaire, Crédit Agricole, LCL, Société Générale, BNP Paribas;
- Польша: Comarch, Getin Group, Citi Bank, Bank Pekao, Raiffeisen, BZWBK24, Eurobank, ING Bank, mbank, IKO, Bank Millennium;
- Турция: Akbank Direkt, QNB Finansbank Cep Şubesi, Garant, İşCep, Halkbank, VakıfBank, Yapı ve Kredi Bankası, Ziraat.
Как работает GM Bot
GM Bot — это вредоносная программа, которая выглядит как безобидное приложение для Android, часто маскируется под плагины типа Flash или контент для взрослых. В основном распространяется через сторонние магазины приложений, у которых нет такой строгой проверки безопасности как у App Store или Google Play Store. После загрузки трояна, иконка приложения исчезает с домашнего экрана, но это не значит, что вредоносная программа исчезла с устройства.
Троянец в основном ориентирован на банковские приложения. При открытии мобильного банка вредоносная программа подгружает поддельную страницу для ввода логина и пароля, и если предоставить приложению права администратора, злоумышленники смогут контролировать все, что происходит на инфицированном устройстве, и нанести серьезный ущерб его владельцу.
