Több néven is ismert a rosszindulatú program - GM Bot, Slempo, Bankosy, Acecard és MazarBot -, amelyhez a hackerek 500 dollár körüli áron juthattak hozzá a feketepiacon. Úgy tűnik azonban, hogy valaki, aki megvásárolta a kártevő kódot, tavaly decemberben kiszivárogtatta azt egy fórumon keresztül, írta Limor Kessem, az IBM Trusteer kiberbiztonsági elemzője.
A kiszivárogtató egy titkosított, archív fájlt is csatolt bejegyzéséhez, amely a GM Bot forráskódját tartalmazta.
- Jelezte azt is, hogy az titkosított fájlhoz hozzáférést adó jelszót csak a fórum aktív tagjainak fogja megadni, akik ezt kérik tőle - tette hozzá Kessem. - Akik viszont megkapták a jelszót, továbbadták azt más felhasználóknak is, így a forráskód a fórum tagkörén kívül is elérhetővé vált.
Banki azonosítók megszerzését célzó, veszélyes trójaiak - közöttük a Zeus, a SpyEye és a Carberp - forráskódját korábban is kiszivárogtatták már, mutatott rá az elemző.
- Jóllehet a GM Bot nem olyan szapora, mint az említett trójaiak, forráskódjának kiszivárgása mindenképp fordulópontot jelent a mobil fenyegetések világában - írta Kessem.
A GM Bot 2014 végén jelent meg az orosz nyelvű fórumokon. Az Android régebbi verzióit futtató eszközökön az aktivitás-eltérítés módszerét alkalmazza, a banki azonosítókhoz a legitim alkalmazás elfedésével jut hozzá. A legitim alkalmazást elfedő felület olyan, mint a tényleges banki mobilalkalmazás, de a felhasználó által beírt azonosítókat a kiberbűnözőknek továbbítja. Miután a GM Bot teljes felügyeletet gyakorol az eszköz felett, az SMS-ben küldött, egyszeri azonosításra szolgáló kódokat is el tudja lopni. A Google az Android 5.0-snál újabb verzióiba épített védelmet az aktivitás-eltérítés ellen.
Korábban is készültek olyan, mobil eszközöket célzó kártevők, amelyek el tudták lopni az SMS-ben küldött kódokat, azonban azok használhatatlanok voltak a banki azonosítókat megszerző aktivitás eltérítés vagy más adathalászati módszerek bevetése nélkül.
Mióta kiszivárgott a GM Bot forráskódja, fejlesztői újabb verziót készítettek, amelyet a pénzügyi csalásokkal foglalkozó fórumokon keresztül értékesítenek, tette hozzá Kessem.