Malware en Google Play que saltea CAPTCHAs
Según investigadores de Bitdefender, han encontrado un sofisticado malware para Android que permite saltear procesos de CAPTCHA y busca suscribir secretamente a miles de usuarios a servicios SMS pagos. Identificado por Bitdefender como Android.Trojan.MKero.A, el malware fue descubierto a finales de 2014 pero versiones recientes han evolucionando.
Esta es la primera aparición de este malware en la tienda oficial de Google Play, sugiriendo que sus desarrolladores han encontrado nuevas formas de empaquetar la app para hacerla pasar por legítima y así poder saltear Google Bouncer, el sistema de detección de Google.
La sofisticación del troyano radica en su capacidad para eludir sistemas de autenticación de los CAPTCHAs por redirigir las peticiones a un servicio de reconocimiento de imagen online, Antigate.com. Este servicio en realidad se basa en personas reales que reconocen las imágenes del CAPTCHA y las peticiones se envían al malware en pocos segundos, lo cual le permite eludir los sistemas de verificación y continuar el proceso de suscripción encubierto.
El troyano se basa en una infraestructura de C&C para recibir ajustes de configuración de los servicios de suscripción, enviar y recibir SMS. El procedimiento de suscripción implica los siguientes pasos:
Para complicar el análisis del malware, sus desarrolladores utilizan herramientas de ofuscación para ocultar clases, funciones y los servidores C&C desde donde recibe órdenes e instrucciones.
Fuente: Hot For Security
Esta es la primera aparición de este malware en la tienda oficial de Google Play, sugiriendo que sus desarrolladores han encontrado nuevas formas de empaquetar la app para hacerla pasar por legítima y así poder saltear Google Bouncer, el sistema de detección de Google.
La sofisticación del troyano radica en su capacidad para eludir sistemas de autenticación de los CAPTCHAs por redirigir las peticiones a un servicio de reconocimiento de imagen online, Antigate.com. Este servicio en realidad se basa en personas reales que reconocen las imágenes del CAPTCHA y las peticiones se envían al malware en pocos segundos, lo cual le permite eludir los sistemas de verificación y continuar el proceso de suscripción encubierto.
El troyano se basa en una infraestructura de C&C para recibir ajustes de configuración de los servicios de suscripción, enviar y recibir SMS. El procedimiento de suscripción implica los siguientes pasos:
- Cargar un sitio web de destino recibido desde el servidor C&C;
- Extraer la imagen CAPTCHA y enviarlo al sistema de reconocimiento de imagen a texto;
- Cargar el código resulto del CAPTCHA en el sitio web destino;
- Enviar confirmación de SMS
Fuente: Hot For Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!