13 марта 2015

Троянец Podec заражает через «ВКонтакте» и обходит CAPTCHA

Продукты Угрозы

Специалисты «Лаборатории Касперского» вовремя обнаружили новый способ отъема денег у любителей взломанных игр для мобильных телефонов. Создатели троянской программы Podec возмутительно наглым способом используют черные SEO-технологии и популярную сеть «ВКонтакте» для того, чтобы заражать своим творением Android-смартфоны и похищать деньги со счетов пользователей.

Троянец Podec заражает через ВКонтакте и обходит CAPTCHA

Зловред маскируется под популярные мобильные игры, например Minecraft. Для распространения заразы злоумышленники завели большое количество тематических групп «ВКонтакте», где и предлагают пользователям скачать троянское приложение. Как оказалось, собрать в каждую группу несколько сотен посетителей довольно просто — достаточно обратиться к специалистам по поисковой оптимизации, с которыми, по всей видимости, хакеры тесно сотрудничают.

Троянец Podec заражает через ВКонтакте и обходит CAPTCHA

Во время установки троянец запрашивает права администратора, которые невнимательные пользователи ему могут выдать не задумываясь, в результате фактически прощаясь с возможностью удалить его со смартфона. Более подозрительные сталкивались с другой проблемой: троянец повторял свой запрос до тех пор, пока не получал желаемое. До тех пор нормально работать с устройством было фактически невозможно.

После этого «подлец» устанавливает настоящее приложение Minecraft и прячется в глубинах операционной системы, скрывая свой ярлык и блокируя возможность удалить себя через список установленных приложений.

Дальнейших вариантов развития событий несколько. Во-первых, троянец может превратить смартфон в часть ботнета — в нем содержатся функции, позволяющие выполнять DDoS-атаку. Это неприятно как с моральной точки зрения — фактически бот на смартфоне делает пользователя соучастником киберпреступления, так и с материальной: для своей деятельности бот использует ресурсы смартфона и расходует оплачиваемый пользователем трафик.

Во-вторых, тот же модуль троянца может использоваться для накрутки посещений сайтов. Это не так обидно, но тоже неприятно — за потребляемый ботом трафик владельцу смартфона платить все же придется.

Третий вариант — подписка на платные SMS-сервисы, что уже напрямую влияет на содержимое абонентского счета владельца зараженного смартфона (стоимость одного сообщения может варьироваться от $0,5 до $10). Средства в этом случае списываются периодически, и уже имеющий несколько подписок пользователь может долго разбираться, куда именно и как уходят средства с его мобильного счета.

Что интересно, троянец вполне успешно проходит проверку «капчи», призванную отличить робота от человека. Для этого «подлец» использует индийский сервис Antigate.com, который предоставляет услуги по распознаванию текста на изображениях: сервис устроен наподобие call-центра, только вместо ответа на звонки сотрудники сервиса быстро распознают «капчи» и возвращают правильные ответы заказчику. Стоит отметить, что Podec — первый троянец, в котором реализована данная функция.

«Подлец» прекрасно заметает следы и способен удалить записи о совершенных им звонках и отправленных сообщениях. Подробнее о продвинутом троянце вы можете прочитать в детальном обзоре на Securelist.

«Подлец» прекрасно умеет заметать следы и способен удалить записи об отправленных им сообщениях

Специалисты «Лаборатории Касперского» следят за SMS-троянцем Trojan-SMS.AndroidOS.Podec с конца прошлого года. Зловред привлек внимание экспертов мощной системой защиты от анализа и детектирования. Перехватив и проанализировав полноценную версию троянского приложения, аналитики обнаружили, что его разработка активно продолжается, так что вполне вероятно, что скоро пользователи столкнутся с новыми, еще более опасными версиями трояна Podec.

Но есть и хорошие новости. Во-первых, узнав об угрозе, руководство «ВКонтакте» приняло меры и почистило часть групп злоумышленников (но далеко не факт, что все). Во-вторых, пользователям Kaspersky Internet Security для Android бояться нечего — они защищены от всех существующих модификаций Podec.

Kaspersky QR Scanner at Google Play

И разумеется «Лаборатория Касперского» рекомендует не устанавливать приложения, загруженные где попало.