GM BOT ataca apps de mais de 50 bancos

Paulo Brito
17/11/2016
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

GM Bot atingiu centenas de milhares de usuários móveis no último trimestre

Uma variante do Trojan bancário GM Bot está atingindo clientes de mais de 50 bancos ao redor do mundo, entre eles Citibank, ING e Bank of America, e pode vir a atingir usuários brasileiros. “Nos últimos três meses, a Avast encontrou o GM Bot nos dispositivos móveis de seus usuários mais de 200.000 vezes”, diz o pesquisador de Mobile Security da Avast, Nikolaos Chrysaidos.

Segundo Chrysaidos, o GM Bot, às vezes também conhecido como Acecard, SlemBunk e Bankosy, engana as pessoas para que forneçam suas credenciais de login bancário e outros dados pessoais, exibindo páginas que parecem quase idênticas às de login dos aplicativos bancários verdadeiros: “Logo a seguir, o malware intercepta as mensagens SMS para obter os PINs da autenticação de dois fatores, dando aos cibercriminosos pleno acesso às contas bancárias. O código do GM Bot é aberto, ou seja, está livremente disponível na darknet, de modo que qualquer pessoa pode distribuí-lo e modificá-lo”, explica Chrysaidos.

O que exatamente é o GM Bot?

Chrysaidos explica que o GM Bot é um malware bancário móvel, que pode obter direitos administrativos completos de um dispositivo e, portanto, interceptar SMS e exibir páginas falsas para roubar informações valiosas. O GM Bot, segundo ele, apareceu pela primeira vez em fóruns da darknet russa em 2014. A partir daí, seu código fonte vazou e uma segunda versão foi desenvolvida por seu criador original, conhecido como GanjaMan.

Como o GM Bot funciona

O GM Bot é um Trojan que superficialmente parece um app inofensivo, mas que é na verdade malicioso. É distribuído principalmente em lojas que não têm checagem rígida de segurança, ao contrário da Apple App Store ou da Google Play Store. O GM Bot geralmente se disfarça como um app de conteúdo adulto ou como um app de plugin, como o Flash”, alerta Chrysaidos.

Assim que baixado, o ícone do app desaparece da tela do dispositivo, mas isso não significa que o malware desapareceu: “É um aplicativo que solicita com persistência direitos administrativos. Se esses direitos forem concedidos, o malware pode causar sérios prejuízos. Com amplos direitos administrativos, o GM Bot pode controlar tudo o que acontece no dispositivo infectado. O malware entra em ação quando é aberto um aplicativo da sua lista, que consiste principalmente de apps bancários“, diz o pesquisador da Avast. Veja mais abaixo uma lista de bancos que a variante do GM Bot imita.

Segundo Chrysaidos, quando um aplicativo da lista é aberto, o malware pode exibir uma página falsa por cima daquela que o usuário deveria estar vendo, muito semelhante ao do aplicativo bancário verdadeiro – e que foi de fato aberto. Ali, o usuário conseguirá inserir suas credenciais, pensando que está fazendo login em seu aplicativo bancário, só que os seus dados não estarão sendo enviados para os servidores do seu banco – a informação estará sendo enviada para cibercriminosos.

Pior ainda”, acrescenta Chrysaidos, “como o GM Bot pode interceptar SMS, pode também roubar seu PIN de autenticação de dois fatores para concluir uma transação sem que você perceba. É isso mesmo: os cibercriminosos podem contornar essa camada extra de segurança se você não tiver cuidado! O malware captura informações como os códigos retirados de SMS, números de telefone e números de cartões de crédito, enviando-os a seguir para seus servidores de comando e controle”.

O GM Bot está evoluindo

O código-fonte do GM Bot vazou no final de dezembro de 2015, e por isso agora está disponível para qualquer pessoa. Praticamente qualquer um, com um pouco de conhecimento técnico, pode distribuir esse malware, explica Chrysaidos. “Cibercriminosos podem dar um passo adiante e ajustar o código do GM Bot, personalizando-o para reunir mais informações. Isso significa que novas variantes com recursos novos e diferentes podem estar constantemente sendo criadas. Registramos um aumento significativo no número de amostras do GM Bot desde que o seu código vazou. Nossos amigos da McAfee, por exemplo, encontraram variantes do GM Bot cujos usuários são solicitados a digitalizar e enviar a frente e o verso de seus RGs.”

O GM Bot no Brasil

Até o momento não há registros do desenvolvimento de uma variante do GM Bot tentando atingir bancos brasileiros especificamente. Por outro lado, o malware vem atacando bancos nos Estados Unidos e na Europa que também atuam no Brasil, como o Santander, Citibank, ING, além do cartão de crédito American Express e o sistema de pagamento online PayPal. Portanto, se um aplicativo infectado no Brasil acessar um desses bancos, ele poderá receber as notificações falsas e ter suas informações roubadas.

Como se proteger

Instale um aplicativo de antivírus, como o Avast Mobile Security. Um bom app antivírus vai detectar e bloquear o malware, como o GM Bot, antes que ele possa infectar o seu dispositivo”, diz Chrysaidos.

Outro conselho: “Não abra mão de fontes confiáveis, como a Google Play Store e a App Store da Apple. Embora as lojas de terceiros possam oferecer aplicativos que não podem ser encontrados nas de fontes confiáveis, ou ofereçam aplicativos premium de graça, suas ofertas podem ser muito boas para serem verdadeiras. Conforme mencionado acima, a maioria das lojas de aplicativos de terceiros não verifica a segurança dos aplicativos recebidos. Tenha cuidado com os aplicativos aos quais você concede direitos administrativos. Os direitos administrativos são poderosos e dão ao aplicativo – e a quem está por trás dele – o controle total do seu dispositivo.”

O Avast Mobile Security & Antivirus pode ser baixado em https://goo.gl/AggtOU

A amostra do GM Bot analisada pela McAfee contém páginas de imitação para os apps dos seguintes bancos:

EUA e Canadá

BNC

American Express

Chase

CIBC

Citi Bank

ClairMail

Coinbase

Credit Karma

Discover

goDough

First PREMIER bank

Bank of America

JPMorgan Chase

Skrill

Western Union

PayPal

PNC

SunTrust

TD Bank

TransferWise

Union Bank

USAA

U.S. Bank Access Online Mobile

Wells Fargo

Áustria

BAWAG P.S.K.

easybank

ErsteBank/Sparkasse

Volksbank

Bank Austria

Raiffeisen

Australia

Bank West

ING Direct

National Australia Bank

Commonwealth Bank

Bank of South Australia

St. George Bank

Westpac

Alemanha

Deutsche Bank

ING DiBa

DKB

Sparkasse

Comdirect

Commerzbank

Consorsbank

Volksbank Raiffeisen

Postbank

Santander

França

ING Direct

Crédit Mutuel de Bretagne

Crédit Mutuel Sud Ouest

Boursorama Banque

Téléchargements

Caisse d’Epargne

CIC

Crédit Mutuel

La Banque Postale

Groupama

MACIF

Crédit du Nord

Axa

Banque Populaire

Crédit Agricole

LCL

Société Générale

BNP Paribas

Polônia

Comarch

Getin Group

Citi Bank

Bank Pekao

Raiffeisen  

BZWBK24

Eurobank

ING Bank

mbank

IKO

Bank Millennium

Turquia

Akbank Direkt

QNB Finansbank Cep Şubesi

Garant

İşCep

Halkbank

VakıfBank

Yapı ve Kredi Bankası

Ziraat

Sobre a Avast

A Avast Software (www.avast.com), líder global em produtos de segurança digital para consumidores e empresas, protege mais de 400 milhões de pessoas online. A Avast oferece produtos com as marcas Avast e AVG, que protegem as pessoas de ameaças na internet com uma das mais avançadas redes de detecção de ameaças do mundo. Os produtos de segurança digital da Avast para Mobile, PC ou Mac têm conceito superior e são certificados pelo VB100, AV-Comparatives, AV-Test, OPSWAT, ICSA Labs, West Coast Labs e outros. A Avast tem o suporte das empresas líderes globais em private equity CVC Capital Partners e Summit Partners.

Contatos:

Avast Software

Paulo Brito

Account Manager

E-mail: paulob@marketcrosscompany.com

www.avast.com

19 997 080 832

###

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest