Program koji krade informacije o platnim karticama maskiran u browser Google Chrome

Vesti, 15.03.2017, 00:30 AM

Istraživači Malware Hunter Teama otkrili su malicioznu aplikaciju predstavljenu kao browser Google Chrome, koja pokušava da prevari korisnike i natera ih da joj daju informacije o svojim platnim karticama. Prikupljene informacije aplikacija šalje na jednu AOL email adresu.

Aplikacija ide i dalje od onoga što obično rade druge aplikacije koje kradu podatke o karticama, koje se često lako prepoznaju.

Ova maliciozna aplikacija, nazvana "Betaling - Google Chrome.exe" pokušava da prođe kao browser Google Chrome, i prilično je dobra u tome. Betaling koristi ikonu Chromea, i zaista podseća na Chrome - ima istu adresnu traku, pa čak i HTTPS ikonu katanca da bi ubedio korisnike da su na pravom web sajtu.

Betaling ipak nije savršena kopija Chromea. Za početak, maliciozna aplikacija traži od korisnika instaliranu 4.0 ili noviju verziju .NET Framework, a to je zahtev koji Google Chrome nema.

Drugo, aplikacija koristi standardni Windows 8/8.1/10 Metro stil, čak i kad radi na računarima sa Windows 7.

Treće, iako Betaling pokušava da uveri korisnike da je u pitanju pravi Chrome, osim ikone katanca i adresne trake, ostatak korisničkog interfejsa, kao što je traka sa tabovima, meni i drugo, upadljivo nedostaje.

Samo dugme za zatvaranje radi tako da korisnici ne mogu da minimiziraju prozor, da promene veličinu prozora, da pređu na prikaz preko celog ekrana, da vuku browser po ekranu, pa čak ni da unesu novi URL.

Ipak, i manje sofisticirani malveri uspevali su da inficiraju stotine pa i hiljade računara, što znači da Betaling ima velike šanse.

Nekoliko bezbednosnih istraživača koji su videli Betaling bili su impresionirani njegovim dizajnom. Niko ko nije stručnjak za malvere nije prepoznao fišing na stranici koja je učitana u Chromeu.

Trenutno interfejs Betalinga je dostupan samo na holandskom, a to govori koji korisnici su trenutno ciljevi autora Betalinga.

Forma koja se prikazuje u prozoru lažnog Chomea ne prihvata automatski sve što korisnici unesu, podaci se proveravaju, i ako nisu tačni, prikazuju se poruke o greškama.

Ako su uneti podaci tačni, Betaling prikuplja sve informacije i šalje ih na AOL email adresu - [email protected]. Ovu adresu pronašli su istraživači koji su analizirali izvorni kod aplikacije. Oni su pristupili inboxu i pronašli skorije logove, što znači da aplikacija dobro radi. Osim toga, istraživači su pronašli i logove koji potiču od nepoznatog keyloggera od kojih su najstariji od januara 2016., a sadrže podatke žrtava iz celog sveta.

Logovi keyloggera otkrili su dve email adrese (patrick***@live.nl i patrick*******@gmail.com) koje najverovatnije pripadaju autoru keyloggera a koje su povezane sa nalozima na društvenoj mreži Spokeo.