В декабре минувшего года эксперты в области безопасности начали фиксировать появление новых банковских Android-троянов после того, как на подпольном форуме Exploit.in появилось руководство по разработке вредоносного ПО для Android, опубликованное русскоязычным вирусописателем, использующим псевдоним Maza-in. Помимо указаний по разработке базовых версий вредоносных программ, инструкция включала исходный код трояна BankBot, а также web-узел для связи с вредоносным ПО.
BankBot включает значительное количество функций, в том числе возможность перекрывать окна приложений своими окнами на различных версиях Android, перехватывать SMS-сообщения и USSD (Unstructured Supplementary Service Data) коды для обхода двухфакторной аутентификации, похищать учетные данные из различных приложений, причем не только банковских.
За последнее десятилетие в Сеть неоднократно утекали исходные коды различных вредоносных семейств, на основе которых злоумышленники впоследствии разрабатывали собственные инструменты. Так произошло в случае с исходным кодом банковского трояна ZeuS, вымогательского ПО EDA2 и HiddenTear и банковского Android-трояна GM Bot, обнародованного в начале минувшего года.
Спустя всего месяц после публикации кода BankBot, специалисты компании «Доктор Веб» обнаружили первое разработанное на его основе вредоносное ПО, предназначенное для атак на российские банки.
Maza-in не только разместил инструкцию на Exploit.in, но и продолжил дополнять ее новой информацией. Более того, к инициативе присоединились и другие участники хакерского сообщества.
В частной беседе на форуме Ripper Maza-in случайно проговорился, что является создателем банковского трояна Mazar BOT, активного в 2015 — начале 2016 года. Если его слова правдивы, именно Maza-in является тем таинственным покупателем, который приобрел исходный код GM Bot на ранних стадиях разработки и на его основе создал инструмент Mazar BOT.
Первая версия трояна GM Bot появилась в продаже на подпольных форумах в октябре 2014 года. Однако в начале февраля 2016 года один из клиентов обнародовал исходный код вредоноса. В том же месяце автор трояна GanjaMan выпустил вторую версию вредоносного ПО, написанную «с нуля». Спустя некоторое время после релиза из-за ссоры с покупателем GanjaMan стал персоной нон грата на площадках, где продавал свое вредоносное ПО. На основе исходного кода разработаны такие бановские трояны, как Bankosy, Acecard, SlemBunk и Mazar BOT.
В интервью изданию Forbes Maza-in сообщил, что публикацией руководства намеревался привлечь внимание к проблеме уязвимостей в ОС Android. Но, как отмечает ресурс BleppingComputer, если бы это было действительно так, разработчик мог бы напрямую обратиться к специалистам Google, а не выражать свою «обеспокоенность» на одном из наиболее популярных хакерских форумов.
Платформа Ripper, так называемая «база кидал» — созданная группой хакеров база данных о различных мошенниках.
Источник: securitylab.ru
