Atak na klientów polskiego banku. Zabezpieczenie reCAPTCHA ściąga trojana

Dobry atak phishingowy musi spełniać dwa warunki. Musi skutecznie podszywać się pod godną zaufania usługę i przestraszyć ofiarę na tyle, by uśpić jej czujność. Świetnie to robi kampania wymierzona przeciwko klientom jednego z polskich banków. Atakujący udają zabezpieczenie reCAPTCHA, sprawdzające, czy nie jesteś robotem, by przekonać do ściągnięcia szkodliwego programu.

Kampanię opisali analitycy z firmy Scuri, ale nie wskazali banku, którego klienci są atakowani. Wyjaśnili jedynie, że atakujący starali się wywołać panikę, by przekonać ofiary do kliknięcia linku w sfabrykowanym e-mailu, pobrania bankowego malware i zdobycia cennych informacji.

Atak zaczynał się od e-maila z podrobionym potwierdzeniem transakcji i linkiem do szkodliwego pliku ze skryptem w PHP. Skrypt jest umieszczony na zaatakowanym wcześniej serwerze przez cyberwłamywaczy. Ofiara ataku była proszona o potwierdzenie nieistniejącej transakcji po przejściu pod ten link. Kolejne stadium ataku było naprawdę pomysłowe. Ofiary nie były przekierowywane na podrobioną stronę swojego banku, ale na stronę ze skryptem rozpoznającym przeglądarkę i reagującym odpowiednio do warunków.

Jeśli stronę odwiedził któryś z botów wyszukiwarki Google, skrypt pokazywał fałszywy błąd 404 (nie znaleziono strony). Jeśli zaś była to inna przeglądarka, skrypt ładował podrobiony test reCAPTCHA, przygotowany w JavaScripcie i HTML-u. To prosta podróbka ze statycznymi obrazami i bez odtwarzania dźwięku.

Po rozwiązaniu reCAPTCHA przeprowadzana jest druga kontrola przeglądarki i skrypt decyduje, czy odwiedzającemu należy wysłać malware jako ZIP czy jako APK do instalacji na Androidzie. Plik jest tak nazwany, by przekonać ofiarę, że ściąga fakturę.

Rozpowszechniany w ten sposób malware w wersji dla Androida jest dość pospolity. VirusTotal identyfikuje go jako trojan mający dostęp do danych o stanie urządzenia, położeniu, kontaktów wysyłania SMS-ów, nagrywania dźwięku, dzwonienia i wykradania danych. Programy antywirusowe identyfikują go jako Banker, BankBot, Evo-gen lub Artemis, ale nie są to jedyne nazwy, pod jakimi funkcjonuje. Jest to malware spokrewniony z Bankerem opisanym przez ESET w połowie lutego i pomysłowym BankBotem, który reagował na poruszanie telefonem.

Wersja dla Windowsa jest mniej popularna.