Специалистами компании Eset было обнаружено шпионское программное обеспечение, целью которого являются игроки в онлайн-покер — Win32/Spy.Odlanor. Как сообщают представители Eset, чаще всего жертвами программы становятся российские и украинские пользователи, которые играют на сайтах Full Tilt Poker и PokerStars.
С помощью программы Odlanor злоумышленники могут заполучить доступ к сведениям об игроке и его картах, что дает преимущество в ходе игры. Специалситами Eset зафиксировано несколько версий троянской программы, самая ранняя из них датируется мартом этого года. Согласно данным, полученным благодаря облачной технологии Eset LiveGrid, большая часть заражений приходится на страны Восточной Европы. Но, как указывают в компании, тем не менее, Odlanor несет собой угрозу для любого игрока в онлайн-покер.
Процесс распространения Odlanor такой же, как и у большей части троянских программ. Пользователь осуществляет загрузку вредоносной программы, которая замаскирована под легальное программное обеспечение из недостоверных источников. Так, Odlanor маскируется злоумышленниками под установщики µTorrent или Daemon Tools, а также специальные программы для покера Poker Calculator Pro, Poker Office, Smart Buddy и Tournament Shark.
После установки на инфицированном устройстве, если у пользователя запущены клиенты покер-румов PokerStars или Full Tilt Poker, Odlanor пытается делать скриншоты. Снимки экраны вместе с идентификатором игрока передаются на удаленный сервер, который находится под контролем хакеров. На упомянутых сайтах для игры в покер присутствует поддержка функции поиска пользователей по идентификаторам, что дает злоумышленнику возможность подключаться к турнирным таблицам.
Новейшие версии Odlanor оснащены функционалом кражи паролей пользователя — модулем WebBrowserPassView, специализирующимся на извлечении паролей из Интернет-браузеров. Этот инструмент является нежелательным программным обеспечением и фиксируется антивирусными продуктами Eset NOD32 как Win32/PSWTool.WebBrowserPassView.B.
Взаимодействие Odlanor с управляющим сервером осуществляется с помощью простого НТТР-протокола, адрес которого находится в коде троянской программы. Часть данных, идентифицирующих жертву, в том числе версия вредоносной программы и сведения о компьютере, передается в виде параметров URL. Другая информация, включая архив со снимками экрана или похищенными паролями, отправляется злоумышленникам через запрос POST HTTP-протокола.
Согласно данным Eset, это не первый случай, когда киберпреступники пытаются скомпрометировать любителей онлайн-покера. В 2013 году специалисты компании зафиксировали вредоносную программу PokerAgent (MSIL/Agent.NKY), применявшуюся киберпреступниками для похищения аккаунтов в Facebook и учетных записей в приложении Zynga Poker. Троянская программа распространялась через сеть Facebook.