По данным исследователей подразделения IBM X-Force, создатель GM Bot, известный как GanjaMan, в новой версии реализовал исходный код, позаимствованный у разработчика Джареда Раммлера (Jared Rummler), опубликовавшего его на GitHub в рамках проекта AndroidProcesses. Данный код позволяет читать контент из системного файла "/proc/" и определять запущенные приложения.
При помощи списка активных приложений атакующий может выявить недавно открытые программы, которые автоматически выводятся на передний план. Таким образом, GM Bot может выбирать и отображать подходящий поддельный интерфейс поверх настоящего приложения, тем самым повышая эффективность фишинговых операций.
Первая версия трояна GM Bot появилась в продаже на подпольных форумах в октябре 2014 года. Тогда ее стоимость составляла $5 тыс. Однако в начале февраля текущего года один из клиентов обнародовал исходный код вредоноса. В том же месяце разработчик выпустил вторую версию вредоносного ПО, написанную "с нуля". Спустя некоторое время после релиза из-за ссоры с покупателем GanjaMan стал персоной нон грата на площадках, где продавал свое вредоносное ПО. После этого он исчез из поля зрения, но, как оказалось, не навсегда.