卡巴斯基實(shí)驗(yàn)室近期發(fā)現(xiàn)首個(gè)欺瞞驗(yàn)證碼圖片識(shí)別系統(tǒng)的惡意軟件——Trojan-SMS.AndroidOS.Podec。該木馬程序能夠使驗(yàn)證碼誤認(rèn)為是人為技術(shù),從而為數(shù)千名安卓手機(jī)用戶訂閱收費(fèi)服務(wù)。這種木馬最早于2014年被檢測(cè)到,從此便不斷升級(jí)。Podec木馬會(huì)自動(dòng)將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到實(shí)時(shí)在線人工翻譯服務(wù),將圖片轉(zhuǎn)換為文本。此外,它還可以繞過(guò)收費(fèi)提醒系統(tǒng),而該系統(tǒng)的目的是提醒用戶服務(wù)收費(fèi)標(biāo)準(zhǔn),并要求用戶在支付前進(jìn)行身份驗(yàn)證。因此,Podec木馬能夠通過(guò)收費(fèi)服務(wù)詐取受害者賬戶中的錢(qián)財(cái)。
根據(jù)卡巴斯基安全網(wǎng)絡(luò)收集到的數(shù)據(jù),Podec主要通過(guò)俄羅斯知名社交網(wǎng)絡(luò)Vkontakte(VK,vk.com)攻擊安卓設(shè)備用戶??ò退够鶎?shí)驗(yàn)室發(fā)現(xiàn)的其他感染源包含Apk-downlad3.ru和minergamevip.com名稱的域名。目前,卡巴斯基實(shí)驗(yàn)室檢測(cè)到的大多數(shù)受害者均位于俄羅斯及其周邊國(guó)家。
Podec是一種非常復(fù)雜的木馬程序??ò退够莆盏淖C據(jù)表明,其開(kāi)發(fā)過(guò)程花費(fèi)了大量時(shí)間和資金。該木馬往往通過(guò)所謂破解版的常見(jiàn)計(jì)算機(jī)游戲鏈接進(jìn)行感染,如Minecraft便攜版。這些鏈接常出現(xiàn)在一些群組頁(yè)面上,受害者通常被其免費(fèi)下載所吸引。但是,這些所謂的游戲文件體積通常比正式版要小很多。感染用戶設(shè)備后,Podec惡意軟件會(huì)要求管理員權(quán)限,一旦獲取到這一權(quán)限,用戶就很難刪除惡意軟件或停止其運(yùn)行。
Podec木馬繞過(guò)驗(yàn)證碼的手段非常具有創(chuàng)新性?,F(xiàn)在,越來(lái)越多的在線表格服務(wù)都開(kāi)始添加驗(yàn)證碼識(shí)別系統(tǒng),以確保人工提交請(qǐng)求,而非自動(dòng)化軟件。Podec能夠?qū)Ⅱ?yàn)證碼定向到在線圖片轉(zhuǎn)換文本識(shí)別服務(wù)Antigate.com。只需幾秒鐘,驗(yàn)證碼圖片內(nèi)的文本就會(huì)由專門(mén)的負(fù)責(zé)人進(jìn)行識(shí)別,并將結(jié)果反饋給惡意軟件代碼,從而繼續(xù)執(zhí)行注冊(cè)或驗(yàn)證過(guò)程。
不僅如此,這種木馬還使用了復(fù)雜的技術(shù)用于阻止他人對(duì)其代碼進(jìn)行分析。同時(shí),代碼中還使用了垃圾信息和代碼混淆。網(wǎng)絡(luò)罪犯使用了一種高價(jià)的合法代碼對(duì)其進(jìn)行保護(hù),使得他人很難訪問(wèn)到這一安卓應(yīng)用程序的源代碼。
卡巴斯基實(shí)驗(yàn)室認(rèn)為這一木馬的開(kāi)發(fā)仍在繼續(xù),其代碼正在進(jìn)行重構(gòu),并且添加新的功能,其模塊架構(gòu)也正在進(jìn)行重建。
卡巴斯基實(shí)驗(yàn)室非Intel研究小組負(fù)責(zé)人VictorChebyshev對(duì)此表示:“Podec標(biāo)志著手機(jī)惡意軟件的演化進(jìn)入一個(gè)全新的危險(xiǎn)階段。這種惡意軟件非常陰險(xiǎn),并且很復(fù)雜。不僅如此,它還通過(guò)社交軟件進(jìn)行傳播,使用了商業(yè)級(jí)的保護(hù)代碼隱藏惡意代碼,并成功繞過(guò)驗(yàn)證碼測(cè)試,盜竊用戶財(cái)產(chǎn)。所有這一切都讓我們懷疑這種木馬是由一個(gè)專門(mén)從事在線欺詐和非法盈利的安卓開(kāi)發(fā)團(tuán)隊(duì)所開(kāi)發(fā)。很顯然,這種木馬已經(jīng)有了新的攻擊目標(biāo)和攻擊意圖,所以我們建議用戶警惕此類(lèi)鏈接,不要輕言相信免費(fèi)下載之事。”
卡巴斯基實(shí)驗(yàn)室針對(duì)企業(yè)和家庭用戶的所有產(chǎn)品均可以全面抵御所有已知版本的Trojan-SMS.AndroidOS.Podec??ò退够鶎?shí)驗(yàn)室還建議用戶在安裝應(yīng)用時(shí)一定要選擇官方應(yīng)用商店,例如GooglePlay,避免從所謂的免費(fèi)下載網(wǎng)站中下載破解版應(yīng)用從而造成財(cái)產(chǎn)損失。