Банковский троян GM Bot теперь может обходить защиту Android 6

Разработчик мобильного банковского трояна GM Bot выпустил новую версию вредоноса, способную обходить защиту ОС Android 6 Marshmallow. Релиз данной версии ОС состоялся в октябре прошлого года и на протяжении долгого времени считалось, что Android 6 не является уязвимой для угроз типа GM Bot и других вредоносных семейств, использующих тактику наложения поддельного контента поверх интерфейса работающих приложений.

По данным исследователей подразделения IBM X-Force, создатель GM Bot, известный как GanjaMan, в новой версии реализовал исходный код, позаимствованный у разработчика Джареда Раммлера (Jared Rummler), опубликовавшего его на GitHub в рамках проекта AndroidProcesses. Данный код позволяет читать контент из системного файла "/proc/" и определять запущенные приложения.

При помощи списка активных приложений атакующий может выявить недавно открытые программы, которые автоматически выводятся на передний план. Таким образом, GM Bot может выбирать и отображать подходящий поддельный интерфейс поверх настоящего приложения, тем самым повышая эффективность фишинговых операций.

Первая версия трояна GM Bot появилась в продаже на подпольных форумах в октябре 2014 года. Тогда ее стоимость составляла $5 тыс. Однако в начале февраля текущего года один из клиентов обнародовал исходный код вредоноса. В том же месяце разработчик выпустил вторую версию вредоносного ПО, написанную «с нуля». Спустя некоторое время после релиза из-за ссоры с покупателем GanjaMan стал персоной нон грата на площадках, где продавал свое вредоносное ПО. После этого он исчез из поля зрения, но, как оказалось, не навсегда.