16 mar. 2015

Podec: troyano SMS que evade CAPTCHAs

A finales del año pasado nos topamos con el troyano SMS Trojan-SMS.AndroidOS.Podec, que utilizaba un poderoso sistema legítimo de protección contra el análisis y detección antivirus. El troyano perfeccionado resultó muy interesante: tenía funciones para enviar mensajes a números cortos de pago usando mecanismos para evadir el sistema Advice of Charge (que notifica al usuario sobre el coste del servicio y le pide confirmación para hacer el pago) y para suscribir a la víctima a servicios de pago, este último capaz de evadir el sistema CAPTCHA.

Las principales fuentes de propagación de la versión que es objeto de nuestro estudio son diferentes dominios con nombres llamativos. Casi todos los mensajes que aparecen en el muro del grupo son enlaces a sitios que supuestamente contienen juegos y aplicaciones para la plataforma Android. En realidad, el único objetivo para crear estos sitios es propagar diferentes versiones de troyano.

Después de iniciarse, la aplicación pide privilegios de administrador del dispositivo. El objetivo de este paso es evitar que lo elimine el usuario o sus programas de protección antivirus. Si el usuario se niega a otorgar privilegios de administrador, el troyano repite su solicitud hasta que obtiene lo que quiere. Y entonces se hace prácticamente imposible trabajar con el dispositivo.

Las instrucciones descifradas son un documento XML cuyas etiquetas representan determinada instrucción y el contenido de las etiquetas son sus parámetros. Conjunto de posibilidades de Trojan-SMS.AndroidOS.Podec realizadas mediante instrucciones:
  • Recopilación de información sobre el dispositivo (operador, IMEI, número de teléfono, idioma de interfaz, país y ciudad, etc.).
  • Obtención de la lista de aplicaciones instaladas.
  • Obtención de información sobre el USSD.
  • Envío de SMS.
  • Instalación de filtro para los mensajes entrantes.
  • Instalación de filtros para las llamadas entrantes y salientes.
  • Muestra publicidad al usuario (notificación aparte, abre páginas, diálogos y otros tipos de contenido publicitario).
  • Borra determinados mensajes.
  • Borra determinadas entradas del registro de llamadas.
  • Carga en el servidor de los delincuentes el código HTML de la página que ellos indiquen.
  • Realiza ataques DDoS, hace aumentar las indicaciones del contador de visitas de los sitios.
  • Suscribe al usuario a contenidos de pago.
  • Se actualiza a sí mismo.
  • Realiza llamadas salientes.
  • Envía al centro de administración los mensajes entrantes según las condiciones establecidas por el mismo.
  • Borra las aplicaciones que el centro de administración indique.
Incluso durante un análisis rápido del código fuente del malware nos llama la atención la abundancia de funciones para el trabajo con HTML y HTTP. Además de la funcionalidad típica para esta clase de troyanos (envío e intercepción de mensajes de texto, posibilidad de hacer llamadas y manipular los registros de SMS y llamadas) en Trojan-SMS.AndroidOS.Podec hay funciones de hacer visitas configuradas a páginas web y enviar sus códigos al servidor de los delincuentes. Pero la peculiaridad clave del troyano es la función de reconocimiento óptico de imágenes CAPTCHA.

Evasión del CAPTCHA

Los diferentes programas de afiliados tienen diversas exigencias respecto al diseño del recurso web donde se ubicarán los mecanismos de realización de la suscripción. Por ejemplo, existe la exigencia de poner un módulo CAPTCHA para evitar que la solicitud se realice de forma automática. En la mayoría de los casos el programa de afiliados redirige el navegador al sitio del operador, donde al usuario se le pide confirmar su solicitud a la suscripción ingresando el CAPTCHA. Como ya hemos dicho más arriba, la característica que diferencia a Trojan-SMS.AndroidOS.Podec es que es capaz de evadir la protección CAPTCHA contra robots.

El procesador de CAPTCHA interactúa con un sitio que proporciona servicios de reconocimiento manual del texto de las imágenes. En otras palabras, el texto de la imagen CAPTCHA lo reconoce un empleado del servicio. Según los datos de la empresa, la mayoría de sus empleados está en la India.

Fuente: Virulist

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!