巴斯基实验室近期发现首个欺瞒验证码图片识别系统的恶意软件——Trojan-SMS.AndroidOS.Podec。该木马程序能够使验证码误认为是人为技术,从而为数千名安卓手机用户订阅收费服务。这种木马最早于2014年被检测到,从此便不断升级。Podec木马会自动将验证请求转发到实时在线人工翻译服务,将图片转换为文本。此外,它还可以绕过收费提醒系统,而该系统的目的是提醒用户服务收费标准,并要求用户在支付前进行身份验证。因此,Podec木马能够通过收费服务诈取受害者账户中的钱财。
根据卡巴斯基安全网络收集到的数据,Podec主要通过俄罗斯知名社交网络Vkontakte(VK,vk.com)攻击安卓设备用户。卡巴斯基实验室发现的其他感染源包含Apk-downlad3.ru和minergamevip.com名称的域名。目前,卡巴斯基实验室检测到的大多数受害者均位于俄罗斯及其周边国家。
Podec是一种非常复杂的木马程序。卡巴斯基所掌握的证据表明,其开发过程花费了大量时间和资金。该木马往往通过所谓破解版的常见计算机游戏链接进行感染,如Minecraft便携版。这些链接常出现在一些群组页面上,受害者通常被其免费下载所吸引。但是,这些所谓的游戏文件体积通常比正式版要小很多。感染用户设备后,Podec恶意软件会要求管理员权限,一旦获取到这一权限,用户就很难删除恶意软件或停止其运行。
Podec木马绕过验证码的手段非常具有创新性。现在,越来越多的在线表格服务都开始添加验证码识别系统,以确保人工提交请求,而非自动化软件。Podec能够将验证码定向到在线图片转换文本识别服务Antigate.com。只需几秒钟,验证码图片内的文本就会由专门的负责人进行识别,并将结果反馈给恶意软件代码,从而继续执行注册或验证过程。
不仅如此,这种木马还使用了复杂的技术用于阻止他人对其代码进行分析。同时,代码中还使用了垃圾信息和代码混淆。网络罪犯使用了一种高价的合法代码对其进行保护,使得他人很难访问到这一安卓应用程序的源代码。
卡巴斯基实验室认为这一木马的开发仍在继续,其代码正在进行重构,并且添加新的功能,其模块架构也正在进行重建。
卡巴斯基实验室非Intel研究小组负责人VictorChebyshev对此表示:“Podec标志着手机恶意软件的演化进入一个全新的危险阶段。这种恶意软件非常阴险,并且很复杂。不仅如此,它还通过社交软件进行传播,使用了商业级的保护代码隐藏恶意代码,并成功绕过验证码测试,盗窃用户财产。所有这一切都让我们怀疑这种木马是由一个专门从事在线欺诈和非法盈利的安卓开发团队所开发。很显然,这种木马已经有了新的攻击目标和攻击意图,所以我们建议用户警惕此类链接,不要轻言相信免费下载之事。”
卡巴斯基实验室针对企业和家庭用户的所有产品均可以全面抵御所有已知版本的Trojan-SMS.AndroidOS.Podec。卡巴斯基实验室还建议用户在安装应用时一定要选择官方应用商店,例如GooglePlay,避免从所谓的免费下载网站中下载破解版应用从而造成财产损失。