این موضوع، روش جدیدی نیست، اما آنچه جدید به نظر می‌رسد این است که، اگر کاربر متوجه تقلبی بودن لینک ایمیل نشود و کلیک کند، مانند حملات سایبری مرسوم٬ به صفحه‌ی تقلبی از بانک هدایت نخواهد شد، بلکه با یک صفحه‌ی ۴۰۴ تقلبی که توسط آن فایل مخرب PHP بارگذاری شده مواجه می‌شود.

اگردرخواست انتقال به این صفحه‌ از طرف ربات‌های گوگل نباشد، از آنجایی که این صفحات مخرب٬ عامل کاربری یا همان  User Agent مشخص دارند که به ربات‌های خزنده‌ی گوگل محدود هستند، اسکریپت PHP یک ابزار تقلبی ری کپچا گوگل را بارگذاری می کند که از کدهای جاوااسکریپت و HTML ایجاد شده‌اند.

محققان در توضیح این صفحه‌ی مخرب می‌گویند:

این صفحه، ظاهر گوگل ریکپچا را به درستی کپی می‌کند، اما تصاویرآن ثابت نخواهد بود٬ زیرا به المان‌های استاتیک وابسته است؛ مگر اینکه کد صفحه‌ی مخرب، تغییر کند. همچنین برخلاف نسخه‌ی واقعی٬ قابلیت پخش صوتی ReCAPTCHA  را ندارد.

عامل مرورگر،‌ مسیر کاربر را بررسی و شناسایی می‌کند و فایل مخرب با پسوند zip. به کاربر ارائه می‌کند٬ یا اگر مرورگر در سیستم‌ عامل اندروید باشد، فایل مخرب APK. در دستگاه او بارگذاری می‌کند.

در سرویس VirusTotal  نمونه‌هایی از بدافزارهای این حمله، بارگذاری شده‌اند. نسخه‌ی اندرویدی بدافزار، میتواند پیامک ها را بخواند و پیام ارسال کند و همچنین قابلیت خواندن وضعیت، موقعیت و خواندن مخاطبان گوشی و برقراری تماس،‌ ضبط صدا و دزدیدن اطلاعات حساس دیگر را دارد.

آنتی ویروس ها آنها را با نام‌هایی همچون Banker, BankBot , Artmeis  و  Evo-gen یا نام‌های مشابه، میشناسند.

مجتمع کامپیوتر پایتخت