Kiszivárgott egy veszélyes Android kártevő forráskódja

Az online banki azonosítókat ellopó malware forráskódjának kiszivárgásával nőhet a támadások száma az IBM kutatói szerint.

Több néven is ismert a rosszindulatú program - GM Bot, Slempo, Bankosy, Acecard és MazarBot -, amelyhez a hackerek 500 dollár körüli áron juthattak hozzá a feketepiacon. Úgy tűnik azonban, hogy valaki, aki megvásárolta a kártevő kódot, tavaly decemberben kiszivárogtatta azt egy fórumon keresztül, írta Limor Kessem, az IBM Trusteer kiberbiztonsági elemzője.

A kiszivárogtató egy titkosított, archív fájlt is csatolt bejegyzéséhez, amely a GM Bot forráskódját tartalmazta.

- Jelezte azt is, hogy az titkosított fájlhoz hozzáférést adó jelszót csak a fórum aktív tagjainak fogja megadni, akik ezt kérik tőle - tette hozzá Kessem. - Akik viszont megkapták a jelszót, továbbadták azt más felhasználóknak is, így a forráskód a fórum tagkörén kívül is elérhetővé vált.

gm_bot_android_malware_screenshot_20160224122820_1_nfh.jpg
Nagyításhoz kattintson a képre.

Banki azonosítók megszerzését célzó, veszélyes trójaiak - közöttük a Zeus, a SpyEye és a Carberp - forráskódját korábban is kiszivárogtatták már, mutatott rá az elemző.

- Jóllehet a GM Bot nem olyan szapora, mint az említett trójaiak, forráskódjának kiszivárgása mindenképp fordulópontot jelent a mobil fenyegetések világában - írta Kessem.

A GM Bot 2014 végén jelent meg az orosz nyelvű fórumokon. Az Android régebbi verzióit futtató eszközökön az aktivitás-eltérítés módszerét alkalmazza, a banki azonosítókhoz a legitim alkalmazás elfedésével jut hozzá. A legitim alkalmazást elfedő felület olyan, mint a tényleges banki mobilalkalmazás, de a felhasználó által beírt azonosítókat a kiberbűnözőknek továbbítja. Miután a GM Bot teljes felügyeletet gyakorol az eszköz felett, az SMS-ben küldött, egyszeri azonosításra szolgáló kódokat is el tudja lopni. A Google az Android 5.0-snál újabb verzióiba épített védelmet az aktivitás-eltérítés ellen.

Korábban is készültek olyan, mobil eszközöket célzó kártevők, amelyek el tudták lopni az SMS-ben küldött kódokat, azonban azok használhatatlanok voltak a banki azonosítókat megszerző aktivitás eltérítés vagy más adathalászati módszerek bevetése nélkül.

Mióta kiszivárgott a GM Bot forráskódja, fejlesztői újabb verziót készítettek, amelyet a pénzügyi csalásokkal foglalkozó fórumokon keresztül értékesítenek, tette hozzá Kessem.

Kommentek

comments powered by Disqus