Kaspersky Lab descobre primeiro Trojan capaz de enganar o CAPTCHA

São Paulo, 25 de março de 2015

Analistas de segurança da Kaspersky Lab detectaram um malware móvel perigoso que é capaz de burlar com êxito o sistema de reconhecimento de imagem CAPTCHA. Trata-se do Podec, um Trojan SMS que desenvolveu uma técnica para convencer o CAPTCHA de que é uma pessoa de verdade. Tudo isto com o objetivo de inscrever os milhares de usuários de Android infectados em serviços premium de envio de mensagem.

Detectado no final de 2014, a última versão do Podec encaminha automaticamente solicitações CAPTCHA para um serviço de tradução humana online em tempo real, que converte a imagem em texto. Ele também pode pular o sistema que notifica os usuários do preço de um serviço e que requer autorização para o pagamento. O objetivo do trojan é tirar dinheiro das vítimas por meio de serviços de tarifa adicional.

De acordo com dados coletados pela Kaspersky Lab, o Podec é dirigido a usuários de dispositivos Android, principalmente através da rede social russa Vkontakte. Por conta disso, a maioria das vítimas até agora foram localizadas na Rússia e em países vizinhos. No entanto, a infecção ocorre também através de links para versões de jogos populares para PC supostamente “craqueadas”, como Minecraft Pocket Edition, que permitiu ao trojan fazer vítimas na América Latina.

O Podec é um trojan muito sofisticado e há evidências de que muito tempo e dinheiro foram investidos em seu desenvolvimento. Após a infecção, o malware solicita privilégios de administrador que, uma vez concedidos, tornam impossível remover ou interromper a execução do malware.

A forma como o Podec engana com sucesso o CAPTCHA é particularmente inventiva. O reconhecimento de imagem CAPTCHA, adicionado cada vez mais a formulários online, garante que as solicitações tenham partido de pessoas de verdade, e não de um programa automatizado. O Podec engana o CAPTCHA redirecionando o processador para um serviço de reconhecimento de imagem para texto online, o Antigate.com. Em poucos segundos, uma pessoa reconhece o texto da imagem CAPTCHA e os detalhes são transmitidos de volta para o código malicioso, que pode prosseguir com a execução.

O Trojan emprega técnicas altamente sofisticadas para evitar qualquer análise do seu próprio código. Além de introduzir classificações lixo e outras ofuscações ao código, os cibercriminosos usam um legítimo e caro protetor de código, o que torna difícil o acesso ao código-fonte do aplicativo Android.

A Kaspersky Lab acredita que o desenvolvimento do trojan está em andamento, o código está sendo reformulado, novas capacidades estão sendo adicionadas, e arquiteturas modulares estão sendo adaptadas.

"O Podec marca uma nova e perigosa fase na evolução dos malware móveis. As ferramentas de engenharia social utilizadas na sua distribuição, a proteção avançada usada para ocultar códigos maliciosos e o complicado processo de extorsão projetado para passar no teste CAPTCHA, nos levam a crer que este trojan está sendo desenvolvido por uma equipe de programadores de Android especializados em fraudes e monetização ilegal ", afirma Victor Chebyshev, Diretor do Grupo de Pesquisa No-Intel da Kaspersky Lab.

"Claramente, o Podec está se desenvolvendo ainda mais e, possivelmente, tem novos objetivos em mente. Aconselhamos nossos usuários a terem cuidado com links e ofertas que parecem boas demais para ser verdade", reforça o especialista.

Os usuários da Kaspersky Lab estão protegidos contra todas as versões conhecidas do Trojan-SMS.AndroidOS.Podec. Para evitar o download de aplicativos corrompidos que são anunciados como gratuitos, a Kaspersky Lab recomenda que o usuário faça download somente de aplicativos encontrados nas lojas oficiais, como a Google Play.

Mais informações sobre este trojan estão disponíveis em Securelist.