reCAPTCHA Google fake per utenti Android.

Phishing mirato.

In questa campagna di phishing gli aggressori impersonano Google in attacchi contro gli istituti bancari e i loro utenti.

Da giorni si segnala la crescita di una nuova campagna di phishing che si rivolge agli utenti dell’online banking. Gli operatori della campagna stanno impersonificando Google per cercare di ottenere le credenziali di accesso della vittima.

La campagna ha già avuto un impatto devastante  su un istituto bancario in Polonia e sui suoi clienti.

I messaggi che gli aggressori inviano contengono informazioni false su transazioni recenti con un link a un file malevolo. Nel messaggio, gli aggressori chiedono alla vittima di verificare le transazioni cliccando sul link.

reCAPTCHA
reCAPTCHA – phishing online banking

Anche se finora questa campagna non sembra essere diversa da qualsiasi attacco di phishing, gli specialisti della sicurezza della rete sostengono che questa campagna è facilmente distinguibile nella sua seconda fase. Invece di reindirizzare la vittima su una replica del sito Web legittimo, la vittima trova una falsa pagina di errore 404.

Come funziona

La pagina ha un numero di user agents definiti che sono limitati ai crawler di Google. Se la richiesta non è correlata al crawler di Google, in altre parole, sono in uso motori di ricerca alternativi; allora lo script PHP carica invece un falso reCAPTCHA di Google composto da JavaScript e HTML statico.

“La pagina mostra un’ottima replica del reCAPTCHA di Google. Tuttavia, poiché si basa su elementi statici, le immagini mostrate saranno sempre le stesse, a meno che non venga cambiato il codice PHP dannoso”, riferiscono gli specialisti della sicurezza della rete. “Inoltre, a differenza del legittimo reCAPTCHA, non è compatibile con la riproduzione audio”.

L’agente del browser viene quindi ricontrollato per determinare come la vittima ha visitato la pagina. Una volta lì, gli utenti troveranno un APK dannoso riservato agli utenti Android che completano il CAPTCHA e scaricano il payload.

Alcuni esempi di questo software dannoso sono già stati analizzati. Nella maggior parte dei casi può essere trovato nella sua forma Android e può leggere lo stato, la posizione e i contatti di un dispositivo mobile; Scansiona e invia messaggi SMS, effettua telefonate, registra l’audio e ruba altre informazioni sensibili.

Secondo gli specialisti in sicurezza della rete, alcune  antivirus hanno rilevato questo Trojan come banchiere, BankBot, Evo-Gen, Artemis, tra gli altri nomi.

Lo scorso gennaio, gli specialisti della sicurezza della rete hanno scoperto una campagna di phishing relativa al Trojan Anubis. Gli specialisti hanno scoperto due applicazioni in Google Play (un convertitore di valuta e un software di risparmio energetico) con cui installavano un malware pronto per essere attivato non appena l’utente interagiva con il dispositivo.