Ostatnio mogliśmy się spotkać ze złośliwym oprogramowaniem, które instalowało nakładkę na na aplikację bankową, aby wyłudzić nasze dane. Teraz powstał nowy sposób na wyłudzane danych nie tylko z aplikacji, ale również z stron internetowych banku otwieranych w przeglądarkach mobilnych.
GMBot (tak nazywa się ten wirus) rozpowszechniany jest głównie za pomocą „szemranych” stron z filmami, gdzie podszywa się pod odtwarzacze wideo. Prosi on również o nadanie praw administratora, aby monitorować otwieranie aplikacji lub połączenia z siecią Wi-Fi. Następnie zostaje utworzony bot, który komunikuje się z serwerem, aby później monitorować aktywne procesy i w momencie otwarcia przez użytkownika aplikacji określonej w pliku konfiguracyjnym przekieruje go fałszywą stronę logowania.
W najnowszej odmianie GMBot obserwuje również historię przeglądanych stron – standardowa przeglądarka Androida oraz Google Chrome. Jeżeli ostatnią z odwiedzanych przez nas stron jest strona bankowa to zostanie wyświetlone okno logowania. Wyglądają one wiarygodnie, na górze znajduje się nawet pasek z adresem strony internetowej, a w rzeczywistości jest to tylko grafika.
Po wpisaniu danych okno znika i zostajemy z powrotem przekierowani na stronę banku. Nasze dane autoryzacyjne wysyłane są na serwer kontrolowany przez hakerów. Na liście ataków znalazło się 21 serwisu bankowych, które prawdopodobnie zostały już pozbawione tego problemu, jednak nie możemy być pewni, czy tak jest.
Możliwości aplikacji Oprócz głównego zadania, czyli wykradania danych autoryzacyjnych, GMBot posiada wiele dodatkowych opcji: przekierowywanie połączeń i smsów przychodzących na innyc numer wykradanie danych karty kredytowej z Google Play wysyłanie pełnej historii przeglądarki na serwer zarządzający przesyłanie listy wszystkich aplikacji zainstalowanych na telefonie przesyłanie wszystkich smsów na serwer zarządadzjący wysyłanie SMS-ów do ofiary mających zachęcić do zalogowania się na konto bankowe.
Źródło: CERT