Поддельная reCAPTCHA используется для распространения банковского Android-трояна
Злоумышленники используют известный метод атаки, но с интересной особенностью.
Исследователи ИБ-компании Sucuri выявили нацеленную на пользователей интернет-банкинга фишинговую кампанию, организаторы которой используют фальшивый механизм reCAPTCHA для кражи ценных учетных данных. По словам исследователей, злоумышленники атаковали клиентов одного из польских банков, рассылая фишинговые письма якобы от имени сотрудников финорганизации либо с темами, призванными спровоцировать пользователя перейти по вредоносным ссылкам, содержащимся в письмах.
Хотя этот метод атаки не нов, в данном случае специалисты заметили интересную особенность: при переходе по ссылке жертва направляется не на поддельную страницу банка, а на фальшивую страницу с ошибкой 404 («страница не найдена» ).
На странице содержится ряд определенных строк User-Agent, ограниченных поисковыми ботами Google. Если жертва использует альтернативную поисковую систему (не Google), PHP-скрипт загружает фальшивую reCAPTCHA, созданную с помощью кода JavaScript и статического HTML.
Поддельная страница весьма схожа с настоящей reCAPTCHA, но имеет несколько отличий, заключающихся в использовании одинаковых изображений и отсутствии поддержки аудиовоспроизведения.
По данным в строке User-Agent PHP-код идентифицирует, какое устройство использует жертва, и на основе этой информации определяет тип загружаемого вредоносного ПО. В случае использования Android-устройств PHP-код запрашивает загрузку вредоносного файла .apk, в остальных — .zip-дроппер.
Вредонос, детектируемый антивирусным ПО как Banker, BankBot, Evo-gen и Artemis, способен собирать данные о состоянии мобильного устройства, местоположении, контактах в телефонной книге, просматривать и отправлять SMS-сообщения, совершать звонки, записывать аудио и красть другую конфиденциальную информацию.