«ВКонтакте» завелся опасный SMS-троянец

Новый SMS-троянец Podec крадет деньги у владельцев Android-смартфонов через скрытую подписку на платные сервисы. Как отмечают специалисты компании «Лаборатория Касперского», угроза способна обходить механизм CAPTCHA. Проведенное исследование показало, что основной площадкой распространения троянца служит социальная сеть «ВКонтакте».

«Новый зловред примечателен своей функциональностью: он может отправлять сообщения на короткие номера, при этом корректно отвечая на запросы подтверждения оплаты услуги, а также подписывать жертву на платные сервисы, обходя механизм CAPTCHA, который призван отличать реального пользователя от бота, – говорится в сообщении антивирусной компании. – Такие возможности до этого не встречались ни в одном известном «Лаборатории Касперского» Android-троянце».

Самое большое число заражений (почти четыре тысячи уникальных пользователей) зарегистрировано в России, затем идут Казахстан и Украина (примерно по 300 пользователей в каждой стране). Это неудивительно, отмечают эксперты, ведь основным каналом распространения является социальная сеть «ВКонтакте». Злоумышленники поддерживают в ней специальные группы, предлагающие пользователям Android скачать взломанные версии популярных приложений. При этом вместе с ожидаемой программой жертва получает установочный пакет троянца.

После запуска зловред запрашивает права администратора, чтобы получить доступ к устройству и предотвратить свое удаление пользователем или защитными решениями. В случае отказа троянец повторяет запрос до тех пор, пока не будет получено согласие. Нормальная работа с устройством из-за постоянных запросов практически невозможна. Получив права, троянец может действовать по одному из вредоносных сценариев в зависимости от настроек в конфигурационном файле. Например, начать простейшую DDoS-атаку или же без ведома владельца устройства подписать его на платные сервисы.

«Как показал анализ, авторы троянца пользуются услугами Antigate.com – сервиса по ручному распознаванию текста на изображениях, – сообщают в антивирусной компании. – Передавая картинку с буквами, они через несколько секунд получают распознанный сотрудником Antigate.com текст – в результате жертва без своего ведома оказывается подписана на платную услугу, о чем узнает только по списанию средств со счета».

Сравнив поздние образцы троянца с более ранними, специалисты установили, что Podec постоянно обновляется, появляются новые возможности, часть из которых пока даже не используется. Кроме того, перерабатывается архитектура модулей. С большой степенью вероятности можно утверждать, что скоро пользователи столкнутся с новой, более опасной версией.

«Плохая новость в том, что этот хитроумный троянец нацелен на кошельки владельцев Android, и для успешного выполнения атаки реализован нетривиальный функционал, – говорит руководитель группы исследования мобильных угроз «Лаборатории Касперского» Виктор Чебышев. – Мы хотим напомнить одну особенность заражения Android-платформ – чаще всего работу по доставке и установке зловреда выполняет сам пользователь. Поэтому в очередной раз настоятельно рекомендуем устанавливать приложения только из официальных магазинов, например Google Play. Ни в коем случае нельзя поддаваться на провокации вирусописателей, подталкивающих к якобы бесплатному скачиванию взломанных платных приложений. Финансовый ущерб от скрывающегося в дистрибутиве троянца намного превосходит цену приложения в официальном магазине».