23/03/2015

Podstępny trojan SMS omija system CAPTCHA i kradnie pieniądze

Technologie Zagrożenia

Eksperci z Kaspersky Lab wykryli nowe niebezpieczne szkodliwe oprogramowanie, które kradnie pieniądze fanom pirackiej zawartości. Aby zainfekować smartfony z Androidem i ukraść pieniądze, trojan Podec używa technik black hat SEO w popularnych sieciach społecznościowych (w szczególności w słynnej rosyjskiej sieci VKontakte, znanej także jako VK.com).

podec-FB

Aby rozprzestrzenić trojana Podec, hakerzy stworzyli wiele grup na VKontakte i umieścili aplikację pod postacią popularnych gier, np. Minecrafta. Przestępcy współpracowali ze specjalistami od SEO w celu przyciągnięcia uwagi użytkowników do fałszywych grup fanów.

Po uruchomieniu szkodliwa aplikacja żąda uprawnień administratora urządzenia. Gdy użytkownik raz wyrazi zgodę, nie może już usunąć szkodliwego oprogramowania z zainfekowanego sprzętu. Jeśli żądanie zostanie odrzucone, trojan powtarza je do skutku, co skutecznie blokuje normalne korzystanie z urządzenia.

Zainstalowany trojan może obrać kilka dróg, np. może włączyć telefon do sieci botnetu, aby przeprowadzić atak DDoS. Jest to złe dlatego, że telefon jest używany do popełnienia przestępstwa, i dlatego, że bot używa zasobów telefonu, włącznie z płatnym ruchem internetowym.

Trojan może również użyć Twojego telefonu do nabijania liczników osób odwiedzających daną stronę. Oczywiście nieświadoma ofiara także zapłaci w tym przypadku za ruch internetowy.

W trzecim scenariuszu, najgorszym dla określonej grupy użytkowników, Podec zapisuje numer telefonu do drogich usług (koszt jednego SMS-a różni się od 0,5 do 10 dolarów). Ponieważ pieniądze są potrącane potajemnie i regularnie, ci użytkownicy, którzy są już zapisani do jakichś usług, spędzą wiele czasu i wysiłku na rozpracowaniu, w jaki sposób ich pieniądze opuszczają konta i gdzie lądują.

Szkodliwa aplikacja może błyskotliwie ukryć ślady swojego przestępstwa i usunąć wszystkie wpisy i wiadomości z telefonu.

Warto zauważyć, że trojan może z powodzeniem ominąć test CAPTCHA, który był początkowo stworzony do odróżnienia człowieka od robota. Tutaj Podec używa szczególnie pomysłowej technologii: wysyła żądanie CAPTCHA do indyjskiej usługi zamieniającej obraz na tekst w czasie rzeczywistym. Nosi ona nazwę Antigate.com i działa jak call center. W ciągu kilku sekund pracownik rozpoznaje żądanie CAPTCHA i wysyła prawidłową odpowiedź do Podeca. To pierwszy trojan, który zastosował rozwiązanie „spoza schematu” do ominięcia testu CAPTCHA.

Więcej informacji o trojanie Podec znajduje się w naszym artykule w serwisie Securelist.

Eksperci z Kaspersky Lab śledzili to zagrożenie począwszy od końca zeszłego roku, gdyż korzystało ono z dość wyszukanych technik mających na celu uniknięcie jakiejkolwiek analizy kodu. Wprawdzie na początku 2015 roku nasi analitycy przechwycili pełnoprawną wersję, jednak prawdopodobnie rozwijany jest nowy trojan i całkiem możliwe, że wkrótce w internecie pojawi się nowa, nawet bardziej niebezpieczna wersja Podeca.

Ale jest też dobra wiadomość. Zarząd VKontakte oświadczył, że firma usunęła kilka fałszywych grup ze swojego portalu (ale nie ma gwarancji, że to były wszystkie). Wszyscy użytkownicy produktu Kaspersky Internet Security for Android są chronieni przed wszystkimi znanymi modyfikacjami Podeca.

Kaspersky Lab zaleca wszystkim użytkownikom instalowane aplikacji tylko z oryginalnych sklepów.