Przedstawiciele firmy Kaspersky Lab - która jako pierwsza poinformowała o wykryciu nowego wariantu - zwracają uwagę, że SpyEye jest oprogramowaniem rozwijanym w modelu otwartym (jest oparty na kodzie Zeusa), więc każdy użytkownik może tworzyć własne rozszerzenia dla trojana. To właśnie tak powstał moduł odpowiedzialny za obsługę kamery i mikrofonu - ktoś napisał realizującą to zadanie wtyczkę o nazwie flashcamcontrol.dll (uzyskuje ona dostęp do urządzeń rejestrujących obraz i dźwięk wykorzystując jedną z funkcji Flash Playera).

W standardowej sytuacji użytkownik powinien być zapytany przez system o to, czy zgadza się na uaktywnienie tych urządzeń - jednak SpyEye modyfikuje ustawienia tak, by były one włączane automatycznie.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Eksperci z Kaspersky Lab początkowo sądzili, że nowa funkcja została dodana do trojana z myślą o obchodzeniu systemu rozpoznawania twarzy - problem jednak w tym, że żaden internetowy bank nie wdrożył do tej pory takiego rozwiązania. Okazało się, że powód był dużo prostszy - kamera i mikrofon mają służyć do przechwycenia informacji dodatkowych, niezbędnych czasami do zatwierdzenia transakcji. Chodzi tu np. o hasła jednorazowe, kody generowane przez tokeny czy instrukcje przekazywane klientom przez telefon (niektóre banki stosują takie rozwiązanie w przypadku niestandardowych - np. szczególnie wysokich - transakcji). Włączenie w takiej sytuacji kamery i mikrofonu ma umożliwić przestępcom poznanie dodatkowych haseł i wykorzystanie ich zanim zrobi to klient.

"Podczas rozmowy telefonicznej z konsultantem banku użytkownik może podać bardzo przydatne dla przestępców informacje - np. podczas identyfikacji. Te dane przestępcy mogą później wykorzystać do podszywania się pod klientów banku" - tłumaczy Dmitry Tarakanov z Kaspersky Lab.

Tarkanov dodaje również, że kamera może posłużyć przestępcom do sprawdzania, jak internauci reagują na ich działania - np. próby stosowania inżynierii społecznej, oszustwa czy fałszywe komunikaty wyświetlane na stronach WWW. "Ci ludzie nigdy nie mają pewności, czy ich sztuczki działają, a jeśli nie - to dlaczego. Nic więc dziwnego, że chcą mieć narzędzie, które pozwoli im na monitorowanie efektów swoich działań" - wyjaśnia specjalista.

Więcej informacji znaleźć można w blogu Kaspersky Lab.