Исследователи из команды IBM X-Force сообщают о второй версии банковской троянской программы GM Bot. Информация о первой разновидности вредоносного программного обеспечения появилась после обнаружения специалистами IBM связи между GM Bot и банковскими троянскими программами для Android, которые широко используются во всем мире.
В октябре 2014 года разработчик, известный как GanjaMan, начал продавать первый вариант GM Bot на подпольных площадках по цене 5000 долларов. Многие киберпреступники применяли исходный код данной троянской программы для создания своих версий GM Bot.
GanjaMan несколько месяцев назад передал исходный код троянской программы другому разработчику, который начал распространять его, пока один из пользователей, купивших его, не разместил исходный код на своем сайте для того, чтобы получить известность среди хакеров. GM Bot может собирать учетную информацию пользователей, используя дополнительные окна, которые отображаются поверх настоящих банковских приложений. У покупателя троянской программы есть возможность самостоятельно настраивать окна для кражи данных кредитных карт. Кроме того, GM Bot может осуществлять перехват SMS-сообщений, получать доступ к данным на зараженных устройствах и осуществлять переадресацию телефонных звонков.
Благодаря исходному коду GM Bot специалисты IBM обнаружили связь между такими банковским вредоносными программами, как AceCard, Bankosy, Mazar BOT и SlemBunk.
GanjaMan продает вторую версию троянской программы и эксплоиты за 15000 долларов. В том случае, если покупатель хочет приобрести лишь вредоносное программное обеспечение, то он может сделать это за 8000 долларов. Данная версия охарактеризована разработчиком как тестовая. В будущем в нее будет добавлен новый функционал, включая возможность работы через Tor.
Технически вторая разновидность GM Bot была разработана с нуля, так как исходный код первого варианта оказался в распоряжении компаний, специализирующихся на информационной безопасности, и был добавлен ими в различные антивирусные продукты.
GanjaMan предоставляет три эксплоита для получения доступа с правами суперпользователя. Как утверждают представители IBM, эти эксплоиты предназначаются для уже известных уязвимостей в старых версиях Android.