Eksperci z Kaspersky Lab wykryli pierwsze mobilne szkodliwe oprogramowanie, które potrafi przechytrzyć system rozpoznawania obrazów CAPTCHA, zabezpieczający serwisy online przed zakładaniem kont przez internetowe automaty. W efekcie tysiące zainfekowanych urządzeń z Androidem automatycznie subskrybuje usługi o podwyższonej opłacie – bez wiedzy i zgody ich użytkowników.
Wykryty pod koniec 2014 r. – i ciągle rozwijany – trojan Podec automatycznie przesyła żądania CAPTCHA do specjalnego serwisu online, który w czasie rzeczywistym przekształca obraz na tekst. Potrafi również obejść system, który powiadamia użytkowników o cenie usługi i wymaga autoryzacji przed dokonaniem płatności. Celem trojana jest wyłudzenie pieniędzy od ofiar za pośrednictwem usług o podwyższonej opłacie.
Według danych zebranych przy pomocy chmury Kaspersky Security Network na chwilę obecną Podec atakuje użytkowników urządzeń Androidem głównie za pośrednictwem popularnego w Rosji portalu społecznościowego VKontakte (vk.com). Inne źródła wykryte przez Kaspersky Lab obejmują domeny o nazwie Apk-downlad3.ru oraz minergamevip.com. Większość ofiar wykryto do tej pory w Rosji i sąsiednich państwach.
Infekcja odbywa się za pośrednictwem odsyłaczy do pirackich wersji popularnych gier, takich jak Minecraft Pocket Edition. Odsyłacze te pojawiają się na stronach grup społecznościowych, a ofiary ma przyciągać brak kosztów oraz znacznie mniejszy rozmiar pliku gry w porównaniu z wersją oficjalną. Po infekcji Podec żąda praw administratora, a gdy już je uzyska, uniemożliwia usunięcie lub wstrzymanie działania swojego kodu. Podec jest wyrafinowany pod względem technologicznym i można podejrzewać, że w jego rozwój zainwestowano mnóstwo czasu i pieniędzy.
Rozwiązanie wykorzystywane przez trojana do przekazywania kodów CAPTCHA jest niezwykle pomysłowe. Podec przekierowuje taki kod do specjalnej usługi online, gdzie w ciągu kilku sekund tekst z obrazu CAPTCHA jest rozpoznawany przez człowieka (pracuje nad tym sztab ludzi znajdujących się w różnych częściach świata), a dane są przekazywane z powrotem do kodu szkodnika, który może następnie wprowadzić je do formularza.
Trojan stosuje wysoce wyrafinowane techniki w celu utrudnienia analizy swojego kodu. Oprócz zaawansowanego zaciemniania cyberprzestępcy wykorzystali drogi, legalny mechanizm ochrony, który utrudnia uzyskanie dostępu do kodu źródłowego aplikacji dla Androida. Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że Podec jest wciąż rozwijany.
„Podec otwiera nową i niebezpieczną fazę w ewolucji mobilnego szkodliwego oprogramowania. Jest sprytny i wyrafinowany. Narzędzia socjotechniki wykorzystywane do rozprzestrzeniania, system ochrony klasy komercyjnej wykorzystywany do ukrywania szkodliwego kodu oraz skomplikowany proces wyłudzania poprzez zaliczanie testu CAPTCHA – wszystkie te czynniki pozwalają nam sądzić, że trojan został stworzony przez zespół specjalizujący się w oszustwach i nielegalnym wprowadzaniu pieniędzy do obiegu. Nie ma wątpliwości, że Podec jest dalej rozwijany, prawdopodobnie z myślą o nowych celach i ofiarach. Dlatego uczulamy użytkowników, aby uważali na odsyłacze i oferty, które wydają się zbyt piękne, aby były prawdziwe” – powiedział Wiktor Czebyszew, menedżer grupy Non-Intel Research Group, Kaspersky Lab.
Aby zwiększyć swoje bezpieczeństwo, użytkownicy urządzeń z Androidem powinni unikać instalowania aplikacji spoza oficjalnych źródeł, a w szczególności pirackich aplikacji ze złamanymi zabezpieczeniami, które są reklamowane jako bezpłatne.
Użytkownicy produktów Kaspersky Lab są chronieni przed wszystkimi znanymi wersjami szkodnika Trojan-SMS.AndroidOS.Podec.
Więcej informacji o nowym trojanie znajduje się w języku angielskim w serwisie SecureList.com prowadzonym przez Kaspersky Lab: http://securelist.com/analysis/publications/69169/sms-trojan-bypasses-captcha.
źródło: Kaspersky Lab
