Uma variante do Trojan bancário GM Bot está atingindo clientes de mais de 50 bancos ao redor do mundo, entre eles Citibank, ING e Bank of America, e pode vir a atingir usuários brasileiros. Segundo Nikolaos Chrysaidos, pesquisador de Mobile Security da Avast, o GM Bot foi encontrado nos dispositivos móveis de seus usuários mais de 200.000 vezes.
Também conhecido como Acecard, SlemBunk e Bankosy, o trojan engana as pessoas para que forneçam suas credenciais de login bancário e outros dados pessoais, exibindo páginas que parecem quase idênticas às de login dos aplicativos bancários verdadeiros. A seguir, o malware intercepta as mensagens SMS para obter os PINs da autenticação de dois fatores, dando aos cibercriminosos pleno acesso às contas bancárias.
O código do GM Bot é aberto, ou seja, está livremente disponível na darknet, de modo que qualquer pessoa pode distribuí-lo e modificá-lo.
O que exatamente é o GM Bot?
É um malware bancário móvel que pode obter direitos administrativos completos de um dispositivo e, portanto, interceptar SMS e exibir páginas falsas para roubar informações valiosas. O GM Bot apareceu pela primeira vez em fóruns da darknet russa em 2014. A partir daí seu código-fonte vazou e uma segunda versão foi desenvolvida por seu criador original, conhecido como GanjaMan.
“O GM Bot é um Trojan que superficialmente parece um app inofensivo, mas que é na verdade malicioso. É distribuído principalmente em lojas que não têm checagem rígida de segurança, ao contrário da Apple App Store ou da Google Play Store. Geralmente se disfarça como um app de conteúdo adulto ou como um app de plugin, como o Flash”, alerta Chrysaidos.
Assim que é feito o download, o ícone desaparece da tela do dispositivo, mas isso não significa que o malware desapareceu. “ um aplicativo que solicita com persistência direitos administrativos. Se esses direitos forem concedidos, o malware pode causar sérios prejuízos.
Com amplos direitos administrativos, o GM Bot pode controlar tudo o que acontece no dispositivo infectado. O malware entra em ação quando é aberto um aplicativo da sua lista, que consiste principalmente de apps bancários.
Segundo o especialista, quando um aplicativo é aberto, o malware pode exibir uma página falsa por cima daquela que o usuário deveria estar vendo, muito semelhante ao do aplicativo verdadeiro – e que foi de fato aberto.
Ali, o usuário conseguirá inserir suas credenciais, pensando que está fazendo login em seu aplicativo original, só que os seus dados não estarão sendo enviados para os servidores do seu banco – a informação estará sendo enviada para cibercriminosos.
Como o GM Bot intercepta SMS, pode também roubar seu PIN de autenticação de dois fatores para concluir uma transação sem que você perceba. O malware captura informações como os códigos retirados de SMS, números de telefone e números de cartões de crédito, enviando-os a seguir para seus servidores de comando e controle.
No Brasil
Até o momento não há registros do desenvolvimento de uma variante do GM Bot tentando atingir bancos brasileiros especificamente. Por outro lado, o malware vem atacando bancos nos Estados Unidos e na Europa que também atuam no Brasil, como o Santander, Citibank, ING, além do cartão de crédito American Express e o sistema de pagamento online PayPal. Portanto, se um aplicativo infectado no Brasil acessar um desses bancos, ele poderá receber as notificações falsas e ter suas informações roubadas.
