Uma variante do Trojan bancário GM Bot está atingindo clientes de mais de 50 bancos ao redor do mundo, entre eles Citibank, ING e Bank of America, e pode vir a atingir usuários brasileiros. “Nos últimos três meses, a Avast encontrou o GM Bot nos dispositivos móveis de seus usuários mais de 200.000 vezes”, diz o pesquisador de Mobile Security da Avast, Nikolaos Chrysaidos.

Segundo Chrysaidos, o GM Bot, às vezes também conhecido como Acecard, SlemBunk e Bankosy, engana as pessoas para que forneçam suas credenciais de login bancário e outros dados pessoais, exibindo páginas que parecem quase idênticas às de login dos aplicativos bancários verdadeiros: “Logo a seguir, o malware intercepta as mensagens SMS para obter os PINs da autenticação de dois fatores, dando aos cibercriminosos pleno acesso às contas bancárias. O código do GM Bot é aberto, ou seja, está livremente disponível na darknet, de modo que qualquer pessoa pode distribuí-lo e modificá-lo”, explica Chrysaidos.

Chrysaidos explica que o GM Bot é um malware bancário móvel, que pode obter direitos administrativos completos de um dispositivo e, portanto, interceptar SMS e exibir páginas falsas para roubar informações valiosas. O GM Bot, segundo ele, apareceu pela primeira vez em fóruns da darknet russa em 2014. A partir daí, seu código fonte vazou e uma segunda versão foi desenvolvida por seu criador original, conhecido como GanjaMan.

Como o GM Bot funciona

“O GM Bot é um Trojan que superficialmente parece um app inofensivo, mas que é na verdade malicioso. É distribuído principalmente em lojas que não têm checagem rígida de segurança, ao contrário da Apple App Store ou da Google Play Store. O GM Bot geralmente se disfarça como um app de conteúdo adulto ou como um app de plugin, como o Flash”, alerta Chrysaidos.

Assim que baixado, o ícone do app desaparece da tela do dispositivo, mas isso não significa que o malware desapareceu: “É um aplicativo que solicita com persistência direitos administrativos. Se esses direitos forem concedidos, o malware pode causar sérios prejuízos. Com amplos direitos administrativos, o GM Bot pode controlar tudo o que acontece no dispositivo infectado. O malware entra em ação quando é aberto um aplicativo da sua lista, que consiste principalmente de apps bancários“, diz o pesquisador da Avast. Veja mais abaixo uma lista de bancos que a variante do GM Bot imita.

Segundo Chrysaidos, quando um aplicativo da lista é aberto, o malware pode exibir uma página falsa por cima daquela que o usuário deveria estar vendo, muito semelhante ao do aplicativo bancário verdadeiro – e que foi de fato aberto. Ali, o usuário conseguirá inserir suas credenciais, pensando que está fazendo login em seu aplicativo bancário, só que os seus dados não estarão sendo enviados para os servidores do seu banco – a informação estará sendo enviada para cibercriminosos.

“Pior ainda”, acrescenta Chrysaidos, “como o GM Bot pode interceptar SMS, pode também roubar seu PIN de autenticação de dois fatores para concluir uma transação sem que você perceba. É isso mesmo: os cibercriminosos podem contornar essa camada extra de segurança se você não tiver cuidado! O malware captura informações como os códigos retirados de SMS, números de telefone e números de cartões de crédito, enviando-os a seguir para seus servidores de comando e controle”.

O GM Bot está evoluindo

O código-fonte do GM Bot vazou no final de dezembro de 2015, e por isso agora está disponível para qualquer pessoa. Praticamente qualquer um, com um pouco de conhecimento técnico, pode distribuir esse malware, explica Chrysaidos.

“Cibercriminosos podem dar um passo adiante e ajustar o código do GM Bot, personalizando-o para reunir mais informações. Isso significa que novas variantes com recursos novos e diferentes podem estar constantemente sendo criadas. Registramos um aumento significativo no número de amostras do GM Bot desde que o seu código vazou. Nossos amigos da McAfee, por exemplo, encontraram variantes do GM Bot cujos usuários são solicitados a digitalizar e enviar a frente e o verso de seus RGs.”

O GM Bot no Brasil

Até o momento não há registros do desenvolvimento de uma variante do GM Bot tentando atingir bancos brasileiros especificamente. Por outro lado, o malware vem atacando bancos nos Estados Unidos e na Europa que também atuam no Brasil, como o Santander, Citibank, ING, além do cartão de crédito American Express e o sistema de pagamento online PayPal. Portanto, se um aplicativo infectado no Brasil acessar um desses bancos, ele poderá receber as notificações falsas e ter suas informações roubadas.

Fonte: Convergencia Digital (Com informações da Avast)