Специалисты компании Avast предупреждают, что различных модификаций банковского трояна GM Bot (также известного под названиями Acecard, SlemBunk и Bankosy) становится все больше.
Впервые Android-троян GM Bot был замечен еще в 2014 году, именно тогда он появился на хакерских форумах. Затем, в конце декабря 2015 года, по данным исследователей IBM X-Force, произошла утечка исходных кодов банкера: один из пользователей опубликовал их в открытом доступе. С тех пор троян пользуется немалой популярностью, ведь практически любой желающий может бесплатно скачать вредоносную программу, кастомизировать ее и использовать.
Специалисты Avast сообщают, что после утечки кода, вполне предсказуемо, был зафиксирован значительный рост аналогов GM Bot. Только за последние три месяца пользователи мобильных приложений Avast столкнулись с трояном более 200 000 раз. Вредоносы на базе GM Bot маскируются под приложения более чем пятидесяти различных банков со всего мира. Среди жертв малвари оказались клиенты мобильных приложений Citi Bank, ING, Bank of America и других крупных банков в США, Канаде, Австралии и странах Европы.
По данным Avast, вариации GM Bot поражают пользователей мобильных приложений следующих банков:
- США и Канада: BNC, American Express, Chase, CIBC, Citi Bank, ClairMail, Coinbase, Credit Karma, Discover, goDough, First PREMIER bank, Bank of America, JPMorgan Chase, Skrill, Western Union, PayPal, PNC, SunTrust, TD Bank, TransferWise, Union Bank, USAA, U.S. Bank Access Online Mobile, Wells Fargo;
- Австрия: BAWAG P.S.K., easybank, ErsteBank/Sparkasse, Volksbank, Bank Austria, Raiffeisen;
- Австралия: Bank West, ING Direct, National Australia Bank, Commonwealth Bank, Bank of South Australia, St. George Bank, Westpac;
- Германия: Deutsche Bank, ING DiBa, DKB, Sparkasse, Comdirect, Commerzbank, Consorsbank, Volksbank Raiffeisen, Postbank, Santander;
- Франция: ING Direct, Crédit Mutuel de Bretagne, Crédit Mutuel Sud Ouest, Boursorama Banque, Téléchargements, Caisse d'Epargne, CIC, Crédit Mutuel, La Banque Postale, Groupama, MACIF, Crédit du Nord, Axa, Banque Populaire, Crédit Agricole, LCL, Société Générale, BNP Paribas;
- Польша: Comarch, Getin Group, Citi Bank, Bank Pekao, Raiffeisen, BZWBK24, Eurobank, ING Bank, mbank, IKO, Bank Millennium;
- Турция: Akbank Direkt, QNB Finansbank Cep Şubesi, Garant, İşCep, Halkbank, VakıfBank, Yapı ve Kredi Bankası, Ziraat.
Специалисты напоминают, что чаще всего GM Bot выглядит как безобидное приложение для Android и маскируется под плагины типа Flash или контент для взрослых. В основном малварь распространяется через сторонние каталоги приложений, а аналоги GM Bot ориентированы преимущественно на банковские приложения. Так, при открытии мобильного банка малварь подгружает поддельную страницу для ввода логина и пароля. Кроме того, троян может перехватывать SMS-сообщения, так что двухфакторная аутентификация и одноразовые коды против него не работают. Если же пользователь имел неосторожность предоставить приложению права администратора, злоумышленники смогут контролировать все, что происходит на инфицированном устройстве.