Opisywaliśmy niedawno wirusa, który potrafi podszyć się pod aplikację mobilną banku i wyłudzić dane do logowania. Teraz pojawiła się jego nowa wersja. Potrafi nie tylko udawać aplikację, ale także stronę banku w mobilnej przeglądarce internetowej.
Analitycy z laboratorium CERT ostrzegają przed złośliwym oprogramowaniem GMBot, które wyłudza dane służące do logowania do bankowości internetowej. Do tej pory program podszywał się przede wszystkim pod aplikację mobilną zainstalowaną na smartfonie. Jego nowa mutacja potrafi nie tylko udawać aplikację, ale także stronę mobilną banku.
GMBot rozprowadzany jest głównie poprzez fałszywe strony służące do oglądania filmików. Najczęściej podszywa się pod aktualizację programu Adobe Flash Player lub aplikację PornTube. Podczas instalacji prosi o nadanie praw administratora, aby móc monitorować otwierane aplikacje oraz łączyć się z siecią WiFi. Po wgraniu jej na telefon aplikacja zaczyna monitorować aktywne procesy.
Gdy użytkownik uruchomi jedną z aplikacji monitorowanych przez GMBot, program „przykrywa” aplikację własnym oknem do logowania. Użytkownik wprowadza dane, które automatycznie trafiają w ręce hakerów. W najnowszej wersji program obserwuje nie tylko aplikacje bankowe, ale także historię przeglądanych stron w standardowej przeglądarce androidowej i na Chrome.
W momencie, gdy ostatnio odwiedzaną przez nas witryną była strona banku, nad oknem przeglądarki zostaje wyświetlony formularz logowania. Podmienione okno do logowania wygląda wiarygodnie, zgadza się nawet adres na pasku. Program wstawia bowiem w górnej części okna obrazek z oryginalnym adresem witryny banku.
GMBot potrafi ponadto:
- Przekierowywać połączenie i SMS-y przychodzące na inny numer
- Wykradać dane karty kredytowej z Google Play
- Wysyłać pełną historię przeglądarki na serwer zarządzający
- Przesyłać listę wszystkich aplikacji zainstalowanych na telefonie
- Przesyłać wszystkie SMS-y na serwer zarządzający
- Wysyłać SMS-y do ofiary, aby zachęcić do zalogowania się na konto bankowe
Phishing nadal groźny. Klienci BZ WBK stracili pieniądze
Kampanie phishingowe stały się już niemal codziennością. Zazwyczaj o ich skutkach nie słychać zbyt wiele, a dwustopniowe zabezpieczenia okazują się skutecznym hamulcem dla oszustów. Ostatni atak na klientów Banku Zachodniego WBK okazał się jednak groźniejszy niż wiele poprzednich podejść przestępców. Wszystko przez rezygnację z potwierdzania niektórych płatności jednorazowymi hasłami.
Przebadana przez analityków CERT próbka posiadała plik konfiguracyjny uwzględniający 21 polskich serwisów bankowości elektronicznej. Obecnie nie znajdują się one już na liście atakowanych serwisów. - Szczęśliwie do tej pory, oprócz podstawowych informacji o telefonie, atakującym nie udaje się wyłudzić danych dostępowych polskich użytkowników bankowości elektronicznej – czytamy na stronie CERT.
