Il Trojan SMS che bypassa i CAPTCHA e ruba denaro agli utenti

Il malware Podec sfrutta il popolare social network VKontakte e altri canali per infettare i telefoni Android. Riesce anche a bypassare CAPTCHA.

Podec

Gli esperti di Kaspersky Lab hanno individuato un nuovo, pericoloso malware che punta a rubare denaro dai fan di alcuni contenuti piratati. Il Trojan Podec sfrutta tecniche SEO scorrette e anche i social network (soprattutto il popolare social russo Vkontakte, o VK.com) per prendere il controllo di smartphone Android e rubare denaro.

Per diffondere meglio Podec, gli hacker hanno creato diversi gruppi su Vkontakte, caricando il malware sotto le mentite spoglie di un famoso gioco per cellulare, ad esempio Minecraft. Sembra che i cybercriminali abbiano lavorato fianco a fianco con specialisti SEO per attirare l’attenzione degli utenti verso questi gruppi.

Quando si apre questa applicazione dannosa, vengono richiesti agli utenti delle particolari autorizzazioni. Quando si clicca su “Accetta”, l’utente non può più eliminare il malware dal dispositivo infetto. Se invece decide di non dare tali autorizzazioni, il Trojan continua a richiederle fino a quando non raggiunge il suo intento, non consentendo l’uso normale del dispositivo.

In seguito, l’app dannosa scarica e installa la vera app di Minecraft, elimina l’icona di accesso rapido del malware dall’elenco delle applicazioni e la sostituisce con la vera icona di Minecraft.

Dopo essere stato installato, il Trojan può fare una serie di cose. Potrebbe includere il telefono in una botnet per sferrare un attacco DDoS. Una notizia negativa per una serie di ragioni: innanzitutto il telefono verrà usato per commettere dei crimini e, in secondo luogo, vengono fortemente sfruttate le risorse del telefono, tra queste il traffico Internet a pagamento.

Inoltre, il Trojan può utilizzare il telefono per aumentare le visite a un determinato sito Internet; anche in questo caso, sarebbe l’utente a dover sborsare denaro per il traffico Internet a pagamento utilizzato a sua insaputa.

Infine, il Trojan Podec fa sottoscrivere il telefono a una serie di servizi/contenuti a pagamento che possono essere anche piuttosto costosi (il costo dell’SMS potrebbe oscillare di 5 cent ai 10 dollari). Dal momento che il denaro viene scalato periodicamente dal saldo, chi è iscritto a diversi servizi a pagamento potrebbe non rendersi conto immediatamente della truffa.

L’app ingannevole può cancellare le tracce dei suoi crimini, eliminando il registro chiamate e i messaggi dal telefono.

Vale la pena sottolineare che questo Trojan è in grado di bypassare il test di risposta CAPTCHA progettato per determinare se l’utente sia un umano o un robot. Podec utilizza una tecnologia particolarmente innovaiva: passa le richieste di CAPTCHA un servizio indiano in real time per il riconoscimento di testo e immagini chiamato Antigate.com. Tale servizio funziona come un call center: in pochi secondi una persona identifica una richiesta di CAPTCHA e invia la risposta a Podec. Si tratta del primo Trojan che offre una soluzione del genere per bypassare i CAPTCHA.

Inoltre, l’app ingannevole può cancellare le tracce dei suoi crimini, eliminando il registro chiamate e i messaggi dal telefono. Per maggiori informazioni su Podec, vi invitiamo a leggere l’articolo dedicato su Securelist.

Gli esperti di Kaspersky Lab hanno individuato questo Trojan già lo scorso anno e lesue  tecniche altamente sofisticate non hanno consentito fino l’analisi del codice. Agli inizi del 2015 hanno intercettato una versione ancora più avanzata. Il nuovo Trojan sta subendo dei cambiamenti ed è probabile che su Internet si trovi presto una nuova versione di Podec ancora più pericolosa.

Ci sono comunque buone notizie. Innanzitutto, Vkontakte ha dichiarato di aver rimosso dal sito alcuni dei gruppi falsi che servivano per la diffusione del malware (non c’è garanzia, però, che tutti i gruppi siano stati eliminati). Gli utenti di Kaspersky Internet Security for Android non corrono pericolo: sono già protetti da Podec e da tutte le sue modifiche fino ad ora conosciute.

google play

Kaspersky Lab consiglia a tutti gli utenti di installare le app solamente dagli store ufficiali.

Consigli