- +48 881 550 553 / +32 466 487 294
- biuro@rolewicz.com.pl
- TRITUM Business Park
Kampanię opisali analitycy z firmy Scuri, ale nie wskazali banku, którego klienci są atakowani. Wyjaśnili jedynie, że atakujący starali się wywołać panikę, by przekonać ofiary do kliknięcia linku w sfabrykowanym e-mailu, pobrania bankowego malware i zdobycia cennych informacji.
Atak zaczynał się od e-maila z podrobionym potwierdzeniem transakcji i linkiem do szkodliwego pliku ze skryptem w PHP. Skrypt jest umieszczony na zaatakowanym wcześniej serwerze przez cyberwłamywaczy. Ofiara ataku była proszona o potwierdzenie nieistniejącej transakcji po przejściu pod ten link. Kolejne stadium ataku było naprawdę pomysłowe. Ofiary nie były przekierowywane na podrobioną stronę swojego banku, ale na stronę ze skryptem rozpoznającym przeglądarkę i reagującym odpowiednio do warunków.
Jeśli stronę odwiedził któryś z botów wyszukiwarki Google, skrypt pokazywał fałszywy błąd 404 (nie znaleziono strony). Jeśli zaś była to inna przeglądarka, skrypt ładował podrobiony test reCAPTCHA, przygotowany w JavaScripcie i HTML-u. To prosta podróbka ze statycznymi obrazami i bez odtwarzania dźwięku.
Po rozwiązaniu reCAPTCHA przeprowadzana jest druga kontrola przeglądarki i skrypt decyduje, czy odwiedzającemu należy wysłać malware jako ZIP czy jako APK do instalacji na Androidzie. Plik jest tak nazwany, by przekonać ofiarę, że ściąga fakturę.
Rozpowszechniany w ten sposób malware w wersji dla Androida jest dość pospolity. VirusTotal identyfikuje go jako trojan mający dostęp do danych o stanie urządzenia, położeniu, kontaktów wysyłania SMS-ów, nagrywania dźwięku, dzwonienia i wykradania danych. Programy antywirusowe identyfikują go jako Banker, BankBot, Evo-gen lub Artemis, ale nie są to jedyne nazwy, pod jakimi funkcjonuje. Jest to malware spokrewniony z Bankerem opisanym przez ESET w połowie lutego i pomysłowym BankBotem, który reagował na poruszanie telefonem.
Wersja dla Windowsa jest mniej popularna.
Źródło:/dobreprogramy.pl/