Специалисты ESET обнаружили шпионское ПО Win32/Spy.Odlanor, ориентированное на игроков в онлайн-покер. В статистике заражений преобладают пользователи из России (36%), Украины (35%), Казахстана (11%) и Белоруссии (10%), играющие на сайтах PokerStars и Full Tilt Poker. Наиболее ранняя версия троянца датирована мартом 2015 года.
Программа Odlanor позволяет злоумышленникам получить доступ к информации об игроке и его картах, что, разумеется, обеспечивает преимущество в игре. Вектор распространения Odlanor типичен для большинства троянцев. Пользователь загружает вредоносную программу под видом легального ПО из недостоверных источников. В частности, злоумышленники маскируют Odlanor под инсталляторы Daemon Tools или µTorrent, а также специализированные программы для покера Tournament Shark, Poker Calculator Pro, Smart Buddy и Poker Office.
На зараженном устройстве Odlanor пытается делать снимки экрана в том случае, если у пользователя запущены клиенты покер-румов PokerStars или Full Tilt Poker. Скриншоты вместе с идентификатором игрока отправляются на удаленный сервер атакующим. Указанные сайты для игры в покер поддерживают функцию поиска пользователей по идентификаторам, так что злоумышленник легко сможет подключиться к турнирным таблицам.
В наиболее новых версиях вредоносной программы в тело троянца Odlanor добавлен модуль WebBrowserPassView, специализирующийся на извлечении паролей пользователей из браузеров. Данный инструмент является нежелательным ПО и детектируется антивирусными продуктами ESET NOD32 как Win32/PSWTool.WebBrowserPassView.B.
Odlanor взаимодействует со своим управляющим сервером через простой НТТР-протокол, адрес которого зашит в теле троянца. Часть сведений, идентифицирующих жертву, включая версию вредоносной программы и информацию о компьютере, отправляется в виде параметров URL. Другие данные, в том числе архив со скриншотами или украденными паролями, передается злоумышленникам в теле запроса POST HTTP-протокола.