С помощью поддельной Google reCaptcha распространяется банковский троян

Банковский троян, который идентифицируется антивирусными приложениями как BankBot, Banker, способен собирать данные о состоянии мобильного устройства, контактах в телефонной книге, местоположении, просматривать и отправлять SMS-сообщения, совершать звонки и красть другую конфиденциальную информацию владельца зараженного девайса на Android.

Во время недавнего расследования компания Securi обнаружила вредоносный файл, связанный с фишинг-кампанией, нацеленной на польский банк. Эта кампания использовала методы привлечения внимания жертвы по электронной почте, чтобы заманить пользователя загрузить банковский вредоносный софт.

Эти письма содержали поддельное подтверждение недавней транзакции пользователя вместе со ссылкой на вредоносный файл PHP. Безусловно, пользователи банка чрезвычайно активнее реагируют на письма о транзакциях нежели на стандартную фишинговую рассылку. При этом, чаще всего пользователей направляют на клон страницы учреждения. В данном же случае жертвы направлялись на страницу с 404 ошибков («страница не найдена»). Помимо прочего на странице содержится ряд определенных строк User-Agent, ограниченных поисковыми ботами Google. Если же жертва использовала альтернативную поисковую систему (не Google), PHP-скрипт загружал фальшивую reCAPTCHA, созданную с помощью кода JavaScript и статического HTML.

Поддельная страница очень похожа на настоящую reCAPTCHA от Google, но имеет и несколько отличительных особенностей, заключающихся в использовании одинаковых изображений и отсутствии поддержки аудио.

Затем код PHP определяет, какая форма вредоносного ПО (zip или вредоносный .apk) подходит для загрузки на устройство. Чтобы сделать это, вредоносный PHP снова проверяет агент пользователя. Если он обнаруживает, что посетитель использует Android, он запрашивает загрузку вредоносного APK файла на устройство.