Przestępcy nieustannie udoskonalają metody kradzieży danych umożliwiających dostęp do kont internetowych. Eksperci od miesięcy ostrzegali przed złośliwym oprogramowaniem wyłudzającym dane logowania się do banku. Działała ono przesłaniając okno aplikacji fałszywką, w której ofiara ataku wpisywała numer identyfikacyjny i hasło, przekazując je nieświadomie złodziejom.

Przeczytajcie także: • Sąd: to bank ma dbać o to, aby klient nie został zhakowany

Jednak do tej pory proceder dotyczył wyłącznie aplikacji zainstalowanych na smartfonach, czyli np. aplikacji bankowych, komunikatorów i e-mail. Teraz CERT natrafił na złośliwe oprogramowanie potrafiące wyłudzić dane dostępowe do banku podczas korzystania przez użytkownika z mobilnej przeglądarki internetowej.

Widoczny w górnej części okna prawidłowy adres banku ma przekonać ofiarę, że znajduje się na autentycznej stronie instytucji. Tymczasem to tylko zwykły obrazek z wklejonym adresem. Oprócz głównego zadania, czyli wykradania danych autoryzacyjnych, GMBot posiada wiele dodatkowych opcji:

• przekierowuje na inny numer połączenia i SMS-y przychodzące,
• wykrada dane karty kredytowej podpiętej w Google Play,
• wysyła historię przeglądarki na serwer zarządzający,
• wysyła SMS-y mające zachęcić do zalogowania się na konto bankowe.

Szczególnie groźna wydaje się ta pierwsza właściwość szkodnika, bowiem może przekazywać przesyłane przez bank kody jednorazowe potrzebne do wykonywania przelewów.

Przeczytajcie także: • Android bezpieczniejszy niż Wam się wydaje? Raport Google'a

GMBot rozsyłany jest głównie poprzez fałszywe strony służące do oglądania filmów. Najczęściej podszywa się pod Adobe Flash Player (ofiara musi ściągnąć aktualizacje, aby móc obejrzeć filmik) albo pod aplikację PornTube. Następnie program prosi o nadanie praw administratora, aby monitorować otwierane aplikacje oraz łączyć się z siecią WiFi gdy tylko jest to możliwe.