SMS-Trojaner umgeht CAPTCHA

CAPTCHA im Dienst der Virenschreiber

Inhalt

    Ende letzten Jahres stießen die Experten von Kaspersky Lab auf den SMS-Trojaner Trojan-SMS.AndroidOS.Podec, der ein sehr leistungsstarkes kommerzielles System zum Schutz vor Erkennung und Analyse verwendet. Nachdem wir den Schutz entfernt hatten, kam ein nicht sehr großer SMS-Trojaner zum Vorschein, dessen größter Teil sich noch in der Entwicklungsphase befand. Doch mittlerweile ist einige Zeit ins Land gegangen, und zu Beginn dieses Jahres gelang es uns, eine vollwertige Version von Trojan-SMS.AndroidOS.Podec abzufangen.

    Der aktualisierte Trojaner erwies sich als äußerst bemerkenswert: Er verfügt über eine Funktion zum Versenden von Mitteilungen an kostenpflichtige Telefonnummern. Dazu verwendet Trojan-SMS.AndroidOS.Podec einerseits einen Mechanismus, um das System Advice of Charge zu umgehen (Übermittlung von Gebühreninformationen an den Teilnehmer samt der Aufforderung, die Zahlung zu bestätigen). Zum anderen verfügt der Trojaner auch über die Möglichkeit, das infizierte Gerät bei kostenpflichtigen Online-Diensten anzumelden, was durch die Umgehung von CAPTCHA-Abfragen geschieht. Eine derartige Funktionalität hat das Kaspersky-Team bisher noch bei keinem ihm bekannten Trojaner beobachtet.

    Verbreitung

    In diesem Report geht es um Version 1.23 des SMS-Trojaners Trojan-SMS.AndroidOS.Podec, die wir aus der Analyse des Codes erhalten haben. Die Hash-Summen des Trojaners lauten:

    72ADCF52448B2F7BC8CADA8AF8657EEB
    0D5708158B8782F115670BD51833AC5C

    Die von Kaspersky Lab analysierte Version des Trojaners ist in Russland und den daran angrenzenden Ländern verbreitet.

    Land Zahl der individuellen Infektionsversuche
    Russland 3666
    Kasachstan 339
    Ukraine 305
    Weißrussland 70
    Kirgisien 23

    Infektionstrend:

    Verteilung der Infektionsquellen von Trojan-SMS.AndroidOS.Podec

    Infektionsquellen

    Unserer mit Hilfe des Kaspersky Security Network (KSN) erstellten Statistik zufolge sind die Hauptverbreitungsquellen der untersuchten Version des Schädlings verschiedene Domains mit markant klingenden Namen wie Apk-downlad3.ru oder minergamevip.com. Infektionen finden aber auch über die Server des in Russland überaus beliebten Sozialen Netzwerks VKontakte statt, die Anwender nutzen, um ihre Dateien dort zu speichern.

    Distribución de las fuentes de infección de ficheros

    Bei den Infektionsquellen entfällt der mit Abstand größte Anteil auf die Server des Sozialen Netzwerks VKontakte. Leider ist in diesem Netzwerk eine Suche nach den Schädlingsquellen nicht möglich, weil Anwender Inhalte dort anonym speichern können. Weitere Untersuchungen von Kaspersky Lab haben allerdings eine Reihe von VKontakte-Communitys zutage gefördert, die Trojan-SMS.AndroidOS.Podec verbreiten:

    • http://vk.com/vzlomannye_igry_dlya_android
    • http://vk.com/skachat_minecraft_0_9_0_android
    • http://vk.com/minecraft_pe_0_9
    • http://vk.com/vzlom_igry_android_mody
    • http://vk.com/igry_android_cheats
    • http://vk.com/android_mody_apk
    • http://vk.com/novye_igry_na_android
    • http://vk.com/skachat_hill_climb_racing_bpan
    • http://vk.com/na_android_igry

    Alle Gruppen aus dieser Liste verbreiteten im Grunde ähnliche Inhalte: Bilder, Links und Mitteilungen.

    Das Thema jeder Gruppe war in der Regel ein gehacktes Spiel oder eine Sammlung gehackter Spiele. Offensichtlich setzten die Cyberkriminellen darauf, das Interesse ihrer potenziellen Opfer auf diejenigen VKontakte-Gruppen zu lenken, in denen es populären kostenpflichtigen Content gratis gibt.

    Bei fast allen Mitteilungen an der Pinnwand der Gruppe handelt es sich um Links auf Webseiten, die angeblich Spiele und Apps für Android enthalten. Das Gleiche gilt für die VKontakte-Rubrik „Links“. Doch das einzige Ziel, das mit der Erstellung dieser Webseiten verfolgt wurde, war die Verbreitung verschiedener Versionen von Trojan-SMS.AndroidOS.Podec.

    Acht Gruppen des Sozialen Netzwerks VKontakte, die sich in der Art der Aufmachung ähneln

    Der Stil und die Aufmachung der Gruppen (beispielsweise die Verwendung von Schlüsselwörtern anstelle einer Beschreibung und die Unmenge an einfachen, allgemeinen Mitteilungen), aber auch die Platzierung von Links auf gefälschte Webseiten, von denen die meisten aussehen, als wären sie eine Kopie der jeweils anderen, lassen uns zu dem Schluss kommen, dass an der Verbreitung des Schädlings auch Experten für „schwarze“ Suchmaschinenoptimierung (SEO, Search Engine Optimization) beteiligt sind. Die aufgezählten Methoden helfen ihnen, die schädlichen Ressourcen (Webseiten und Gruppen) möglichst weit vorne auf den Trefferlisten von Suchmaschinen zu platzieren und damit auch gleichzeitig für eine höhere Besucherzahl zu sorgen.

    Der Administrator aller Community-Klone ist der VKontakte-Nutzer mit dem Usernamen „kminetti“; auf seiner Seite wird für die oben aufgeführten Gruppen geworben. Der Account existiert seit dem 12. Oktober 2011, und seit dem Jahr 2012 werden an der Pinnwand Links auf Webseiten und Communitys gepostet, die schädliche Apps für mobile Plattformen verbreiten.

    Beispiel für Postings des Administrators der schädlichen VKontakte-Communitys

    Bis dahin wurde der Account als Bot benutzt, der Links auf Webressourcen platziert, um ihre Indizes zu erhöhen.

    Beispiel für Postings des Community-Administrators, die auf die Erhöhung des Index von Drittressourcen abzielen

    Aus allem oben Gesagten lässt sich schließen, dass das Soziale Netzwerk VKontakte der Hauptverbreitungskanal des Schädlings Trojan-SMS.AndroidOS.Podec ist.

    Infektionsschema

    Das von Kaspersky Lab untersuchte Sample des mobilen Trojaners tarnt sich als die beliebte App Minecraft Pocket Edition. Die Größe ihrer Installationsdatei beträgt 688 Kilobyte, was in den Augen unerfahrener Nutzer mit langsamer oder teurer Internetverbindung ein Vorteil ist. Die Größe der offiziellen App beträgt zwischen 10 und 13 Megabyte.

    Nach dem Start fragt die App nach den Administratorrechten des Gerätes. Damit will die App verhindern, dass sie anschließend vom Anwender oder von Schutzlösungen gelöscht werden kann. Gibt der Anwender die Administratorrechte nicht heraus, wiederholt der Trojaner seine Anfrage so lange, bis er schließlich eine Bestätigung erhält. Ein normales Arbeiten mit dem Gerät ist währenddessen praktisch unmöglich.

    Anfrage auf Erhöhung der Privilegien durch Trojan-SMS.AndroidOS.Podec

    Nachdem Trojan-SMS.AndroidOS.Podec privilegierten Zugriff auf das Gerät erhalten hat, erfolgen der Download (von einer Drittressource) und die Installation der offiziellen Minecraft-App auf die SD-Card des Gerätes. Diese Reihenfolge ist in der Konfigurationsdatei festgelegt, die zusammen mit dem Trojaner geliefert wird. Diese Datei enthält auch den Link für den Download der APK-Datei von Minecraft. Gleichzeitig kann es aber auch sein, dass die Konfigurationsdatei keine Links auf die App enthält, und zwar in dem Fall, wenn der Trojaner die für den Anwender merkbare Aktivität einfach nach der Bitte um die Privilegien abbricht.

    Teil der Konfigurationsdatei mit dem Downloadlink für die offizielle Minecraft-App

    Daraufhin löscht der Trojaner sein Icon aus der Liste der Apps und ersetzt es durch das Icon der echten Anwendung. Dabei bleiben nicht auf den ersten Blick auffallende Spuren des Trojaners in der Liste der installierten Anwendungen und in der Liste der Geräte-Administratoren zurück:

    Die Schaltfläche zum Deinstallieren der Schadanwendung ist nicht aktiviert, und der Versuch, die Privilegien zurückzunehmen, führt zu einem äußerst merkwürdigen Verhalten des Gerätes – der Bildschirm wird blockiert und danach für eine gewisse Zeit ausgeschaltet. Nach dem erneuten Einschalten des Bildschirms zeigt das Gerät das Einstellungsmenü an, und nichts weist mehr darauf hin, dass der User vor kurzer Zeit versucht hat, der App die Administratorrechte zu entziehen.

    Schutz vor Analyse

    Ein guter Beleg für die Ernsthaftigkeit, mit der die Cyberkriminellen die Entwicklung von Trojan-SMS.AndroidOS.Podec betreiben, ist die verwendete Technik zum Schutz des Codes vor Analyse. Neben dem Hinzufügen von Junk-Klassen und Obfuskation verwenden die Cyberkriminellen einen weiteren kommerziellen Schutzmechanismus, der es extrem erschwert, Zugriff auf den Quellcode der Android-App zu erhalten. Dieser Schutzmechanismus kontrolliert die Codeintegrität des Trojaners, und verbirgt Funktionsaufrufe aller Art sowie Manipulationen an den Datenfeldern. Außerdem verschlüsselt er alle Zeilen des Codes.

    Hier ein Beispiel für den geschützten Code:

    Derselbe Code nach Aufhebung des Schutzes:

    Steuerung des Trojaners

    Die Steuerung des Schädlings Trojan-SMS.AndroidOS.Podec erfolgt mit Hilfe von Steuerungsservern. Gemäß dem verwendeten Schema wendet sich der Trojaner über das HTTP-Protokoll an den Server der Cyberkriminellen und wartet auf eine SMS-Mitteilung mit Befehlen, die sein Verhalten steuern. Trojan-SMS.AndroidOS.Podec verwendet eine Haupt- und eine Reserveliste mit Domainnamen der Steuerungsserver – die Wahl des korrekten Steuerungszentrums erfolgt nach einem willkürlichen Algorithmus. Kommt vom Hauptserver nach drei Tagen keine Antwort, so wird die Reserve-Namensliste verwendet. Auf diese Weise setzt sich der Trojaner adaptiv mit dem Steuerungsserver in Verbindung, was es ihm erlaubt, mögliche Blockierungen der Domainnamen zu umgehen.

    Die Domainnamen der Steuerungsserver und der gesamte Traffic (sowohl über HTTP als auch über SMS) werden mit dem Verschlüsselungsalgorithmus AES im Modus CBC/NoPadding in einer Schlüsselstärke von 128 Bit chiffriert. Der Chiffrierungsschlüssel und der Initialisierungsvektor befinden sich ursprünglich in der Datei fXUt474y1mSeuULsg.kEaS (die Bezeichnung dieser Datei ist von Modifikation zu Modifikation unterschiedlich), die im Verzeichnis assets der ursprünglichen App abgelegt ist. Ein großer Teil der Datei besteht aus unsinnigen Zeichen; die nützlichen Informationen stehen zwischen Tags, beispielsweise [a]строка[/a].

    Aus den zwischen Tags platzierten Zeilen ergeben sich die notwendigen Verschlüsselungsparameter (Schlüssel und Vektor) in chiffrierter Form. Dechiffriert werden sie dann mittels simpler Ersetzungen eines Teilstrings.

    Die verschlüsselten Befehle werden in Form eines XML-Dokuments dargestellt, dessen unterschiedliche Tags jeweils ein bestimmtes Kommando bedeuten. Beim Inhalt der Tags handelt es sich um ihre Parameter. Es folgt eine Liste der Aktivitäten von Trojan-SMS.AndroidOS.Podec, die durch Befehle umgesetzt werden:

    1. Zusammentragen von Informationen über das Gerät (unter anderem Mobilfunkbetreiber, IMEI, Telefonnummer, Sprache der Benutzeroberfläche, Land und Stadt).
    2. Liste der installierten Anwendungen erstellen.
    3. Informationen mit Hilfe von USSD-Codes auslesen.
    4. SMS-Versand.
    5. Installation eines Filters für eingehende Mitteilungen.
    6. Installation eines Filters für ein- und ausgehende Anrufe.
    7. Anzeigen von Werbung (separate Benachrichtigungen, offene Seiten, Dialog und andere Arten der Anzeige von Werbecontent).
    8. Löschen voreingestellter Nachrichten.
    9. Löschen voreingestellter Notizen über Anrufe.
    10. Upload von HTML-Code einer zuvor festgelegten Webseite auf den Server der Cyberkriminellen.
    11. Durchführen von DDoS-Attacken, erhöhen des Besucherzählers von Webseiten.
    12. Anmeldung des Anwenders bei kostenpflichtigen Online-Diensten.
    13. Selbstaktualisierung.
    14. Durchführung von ausgehenden Telefonaten.
    15. Abladen eingehender Mitteilungen zu vom Steuerungszentrum vorgegebenen Bedingungen.
    16. Löschen einer vom Steuerungszentrum festgelegten Anwendung.

    Selbst bei einer oberflächlichen Analyse des ausführbaren Codes fällt die Masse an HTML- und HTTP-Funktionen ins Auge. Neben der für diese Art von Trojanern typischen Funktionalität (Senden und Abfangen von Textnachrichten, Telefonate durchführen, Manipulation von SMS- und Anruf-Listen), kann Trojan-SMS.AndroidOS.Podec auch Webseiten aufrufen und deren Code an den Server der Cyberkriminellen weiterleiten. Doch die eigentliche Besonderheit des Trojaners ist seine Fähigkeit, die CAPTCHA-Bilder zu erkennen.

    Hier das allgemeine Funktionsschema von Trojan-SMS.AndroidOS.Podec.

    Die Interaktion von Trojan-SMS.AndroidOS.Podec mit Webressourcen ist also die Quelle zweierlei Arten von Bedrohungen:

    1. Der Trojaner enthält Funktionen, die es ihm ermöglichen, eine simple HTTP-Flood-DDoS-Attacke durchzuführen. Die Zeilen in der Konfigurationsdatei, die für diese Option verantwortlich sind, sehen folgendermaßen aus:
    2. podec_code_1

      Der erhaltene Link wird hochgeladen, führt einen Aufruf der Funktion sleep() mit dem Parameter „seconds“ durch, und der Prozess wird so häufig wiederholt, wie durch die im Parameter „limit“ eingetragene Zahl vorgegeben wird.

      Da es das von den Cyberkriminellen verwendete Schema ermöglicht, die Häufigkeit und Anzahl der Aufrufe festzulegen, kann es nicht nur zur Durchführung von DDoS-Attacken verwendet werden. Es lässt sich unter anderem auch zum künstlichen Erhöhen von Besucherzählern einsetzen und kann daher ausgenutzt werden, um den Betrügern einen Vorteil bei Partnerprogrammen und bei Werbeanzeigen zu verschaffen.

    3. Eine der gefährlichsten Funktionen von Trojan-SMS.AndroidOS.Podec ist der konfigurierbare Aufruf von Webseiten mit der Möglichkeit, CAPTCHA-Bilder auf ihnen zu erkennen. Auf diese Weise kann der Nutzer des Gerätes bei kostenpflichtigen Online-Diensten registriert werden. Das ist eine einzigartige Eigenschaft des Trojaners, die sich lohnt, genauer unter die Lupe genommen zu werden.

    Kostenpflichtige Registrierungen

    Es gibt zwei Methoden, mit denen Trojan-SMS.AndroidOS.Podec ein infiziertes Gerät bei einer Webressource registriert:

    • Pseudoregistrierung. Dazu muss der Anwender eine Webressource aufrufen und dort seine Telefonnummer eingeben. Daraufhin wird ihm eine SMS zugeschickt mit der Aufforderung, den Online-Dienst durch Absenden einer Antwort-SMS zu bezahlen. Die Antwort-SMS kann beliebigen Text enthalten. Nach Absenden der Mitteilung wird vom Konto des Abonnenten eine Summe abgebucht, die vom Tarif des jeweiligen Mobilfunkbetreibers abhängt. Solche Mitteilungen treffen in regelmäßigen Abständen ein, und jedes Mal muss der Anwender selbst die Entscheidung darüber treffen, ob er eine Antwort-SMS schickt oder nicht – aus diesem Grund wird diese Methode auch häufig Pseudoregistrierung genannt.
    • МТ-Registrierung. In diesem Fall gibt der Anwender seine Telefonnummer auf einer Webressource ein und erhält daraufhin eine SMS mit einem Bestätigungscode. Daraufhin muss der Code auf der Webseite des Betreibers eingegeben werden, wodurch gleichzeitig die Geschäftsbedingungen akzeptiert werden. Nun bucht der Betreiber regelmäßig den Betrag vom Konto des Abonnenten ab, der im Vertrag festgeschrieben ist. Im Runet gibt es mehrere Partnerprogramme, die Dienstleistungen zur Aggregation solcher Bezahlarten anbieten. Das heißt, bei der Erstellung eines Online-Dienstes, von dem das Abonnieren von bezahlpflichtigem Content möglich ist, müssen die Cyberkriminellen nicht zwingend den Mobilfunkbetreiber kontaktieren. Diese Arbeit erledigen die Partnerprogramme für sie. Dabei geht den Anbietern des Online-Dienstes ein Teil der Einnahmen verloren (durchschnittlich 40 bis 50 Prozent), doch die Anonymität ihrer Finanztransaktionen wird dadurch erhöht.

    Das Abonnieren bezahlpflichtiger Inhalte mit Hilfe eines Trojaners fügt dem Nutzer spürbaren finanziellen Schaden zu. Im Fall der Pseudoregistrierung kann der Preis für eine Antwort-SMS zwischen einem halben und zehn US-Dollar schwanken. Im Fall der МТ-Registrierung wird der Preis für jeden Fall einzeln über das Partnerprogramm mit dem Mobilfunkbetreiber ausgehandelt. Die gefährlichsten Faktoren sind die Verborgenheit und die Regelmäßigkeit der Abbuchungen. Hat der Nutzer mehrere Content-Quellen abonniert, so kann es lange dauern, bis er herausfindet, wohin und wie das Geld von seinem mobilen Konto verschwindet.

    Beispiel für die Funktion des Trojaners

    Den Kaspersky-Experten ist es gelungen, die Kommunikation von Trojan-SMS.AndroidOS.Podec mit seinem Steuerungszentrum abzuhören. Bei dieser abgefangenen Sitzung ging er nach dem folgenden Schema vor:

    • Zuerst wurde ein Besuch der Webseite RuMaximum.com initiiert, die Persönlichkeitstests anbietet. Um seine Testergebnisse zu erhalten, muss sich der Anwender zwingend registrieren.
    • Mit Hilfe einer GET-Anfrage imitiert der Trojaner die Antworten auf die Testfragen und erstellt als Folge einen Link der folgenden Art: http://rumaximum.com/result.php?test=0&reply[1]=0&reply[2]=0&reply[3]=0&reply[4]=0&reply[5]=0&reply[6] =0&reply[7]=0&reply[8]=0&reply[9]=0&reply[10]=0. Dieser Link ruft das folgende Web-Dokument auf:
    • Nach Eingabe der Telefonnummer wird eine einzigartige „Landing-Page“ des Mobilfunkanbieters generiert. Darauf befinden sich die Aufforderung zur Eingabe von Text aus dem CAPTCHA-Bild sowie der Bestätigungscode aus der auf dem Telefon empfangenen SMS. Der Trojaner füllt beide Felder aus und bestätigt damit die Registrierung. Daraufhin erfolgt eine Umleitung über das mobile Handelssystem totmoney.ru auf die Testergebnisse.

    Alle Aktionen des Trojaners werden automatisch mit Hilfe der vom Server der Cyberverbrecher gesendeten Konfiguration ausgeführt. Doch das Opfer dieser ganzen Geschichte sieht und ahnt nicht, dass sich auf seinem Gerät eine solche Aktivität entfaltet.

    Funktionalität eines kostenpflichtigen Abonnements

    In der vom Server der Cyberkriminellen erhaltenen XML-Konfiguration gibt es ein Feld, das für die Registrierungsprozedur des Anwenders bei kostenpflichtigen Online-Diensten verantwortlich ist. Es sieht folgendermaßen aus:

    Schauen wir uns das Konfigurationsfeld einmal genauer an:

    1. verify: String-Array mit der Trennmarke „-S-“. Enthält Informationen, die für den Erhalt des CAPTCHA-Wertes unerlässlich sind.
    2. verify[0]: Wenn dieses Feld nicht gleich „null“ ist, so muss der CAPTCHA-Code unbedingt erkannt werden. Andernfalls erfolgt eine weitere Verarbeitung. Die Datei kann Bilder in der Codierung base64 enthalten (für die Verarbeitung von statischen Abbildungen und CAPTCHA entwickelt) oder einen Identifikator des Bildes.
      verify[1]: Schlüssel des Online-Services http://antigate.com. Dieser wird für die Erkennung des CAPTCHA-Codes benutzt, der für die Autorisierung unerlässlich ist.
      verify[2]: Minimale Breite des Bildes, wird zu internen Zwecken genutzt.
      verify[3]: Maximale Breite des Bildes, wird zu internen Zwecken genutzt;
      verify[4]: Sprachliche Zugehörigkeit der Zeichen, die auf dem Bild dargestellt sind.

    3. service: Der Online-Dienst, der aufgerufen wird.
    4. search: String-Array mit der Trennmarke „-S-“. Wird für die Suche nach Teilzeichenfolgen im besuchten Link benutzt und zur Entscheidungsfindung über die erforderliche Registrierungsmethode auf Grundlage der Suchergebnisse.
    5. images: wird in dieser Version nicht verwendet.
    6. actions: String-Array mit der Trennmarke „-S-“. Enthält die endgültigen Links, über welche der Registrierungsprozess des Online-Dienstes initiiert beziehungsweise abgeschlossen wird.
    7. type: Anfragetyp.
    8. source: Absenden des Quellcodes einer Webseite an den Server der Cyberkriminellen.
    9. domain: Verweist beim Absenden des Quellcodes einer Webseite auf den Steuerungsserver, an den diese gesendet wird.

    Um den Code der HTML-Seiten zu erhalten und an den Server der Cyberkriminellen zu senden, wird beim Laden der Seite das Interface Observable verwendet, an das die notwendigen Informationen falls notwendig mit Hilfe von JavaScript geschickt werden.

    Den Quellcode der Seiten benötigen die Cyberkriminellen unbedingt, damit sie sie deren Struktur analysieren und das Modul zur kostenpflichtigen Registrierung konfigurieren können. Der Quellcode gewährleistet zudem, dass man den Code in einer Form erhält, in der er dem Opfer gezeigt werden kann. Unter dem Strich ist es für die Cyberkriminellen ihrerseits leichter, die Seite zu analysieren und die Registrierungs-Befehle zu erstellen.

    Die Registrierungs-Funktion befindet sich in der Klasse CustomWebView, die von der Klasse WebViewClient abstammt. In ihr sind die Methode onLoadResource, die zum Erhalt des Links auf das CAPTCHA-Bild verwendet wird, und die Methode onPageFinished vordefiniert, die für die weitere Verarbeitung der geladenen Ressource benutzt wird. Die weitere Verarbeitung basiert auf der Auswahl der Konfiguration und dem folgenden Besuch der erforderlichen Links mit Hilfe der Funktion loadUrl. Wenn nötig, wird zusätzlich der CAPTCHA-Verarbeiter aufgerufen.

    Umgehung von CAPTCHA

    Partnerprogramme haben unterschiedliche Anforderungen, wie sich eine Webressource präsentieren muss, damit eine Registrierung stattfinden kann. Beispielsweise gibt es die Forderung nach Platzierung eines CAPTCHA-Moduls, das als Bestätigung dient, dass die Anfrage nicht im automatisierten Modus erfolgt. In den meisten Fällen führt das Partnerprogramm eine Umleitung des Browsers auf die Webseite des Betreibers durch, wo der Anwender aufgefordert wird, seine Registrierung durch die Eingabe eines CAPTCHA-Codes zu bestätigen. Wie bereits oben erwähnt, ist Trojan-SMS.AndroidOS.Podec deshalb so besonders, weil er in der Lage ist, CAPTCHA und damit den Schutz vor Bots zu umgehen.

    Der CAPTCHA-Verarbeiter des Trojaners interagiert mit dem Online-Service Antigate.com, der Text auf CAPTCHA-Abbildungen erkennt. Der Service über sich selbst:

    „Antigate.Com ist ein Online-Service, der Captcha-Texterkennung in Echtzeit liefert. Das funktioniert ganz einfach: Ihre Software lädt einen Captcha auf unseren Server und erhält innerhalb von Sekunden den Text.”

    Mit anderen Worten: Der Text aus dem CAPTCHA wird von einem Mitarbeiter des Online-Services entziffert. Laut Angaben von Antigate.сom befindet sich die Mehrzahl der Mitarbeiter in Indien.

    Verteilung der Mitarbeiter von Antigate.com nach Ländern. Quelle: Antigate.com

    Die Kommunikation des Trojaners mit Antigate.com erfolgt mittels der HTTP-API des Anbieters: Mit Hilfe einer POST-Anfrage wird ein Bild verschickt, auf dem eine Textnachricht erkannt werden muss. Anschließend überprüft der Trojaner mit Hilfe von GET-Anfragen das Ergebnis der Erkennung durch Antigate.com. Das erhaltene Resultat (sofern es eintrifft, und natürlich innerhalb einer vernünftigen Zeitspanne), wird in die Links aus dem aus der Konfiguration erhaltenen Feld „actions“ gesetzt. Die Links werden dann mit Hilfe der Funktion loadUrl() geladen.

    Erfordert der Registrierungsmechanismus eine Bestätigung via SMS, sucht der Trojaner mit Hilfe eines von den Cyberkriminellen installierten Filters die Mitteilung, die den Bestätigungscode enthält, und erhält mit Hilfe regulärer Ausdrücke aus ihr den Bestätigungs-Code.

    Allgemeines Schema zur Umsetzung der Registrierung

    Allgemeines Schema zur Umsetzung einer kostenpflichtigen Registrierung

    Das Modul zur Umsetzung der kostenpflichtigen Registrierungen besteht also insgesamt aus dem Observer SubscribeService, der die Aufzeichnungsereignisse im Interface „HTMLOUT” abhört. Erhält er von dort Daten (der geladenen Seite), schickt er diese an den Server der Cyberkriminellen, und zwar mit Hilfe der Klasse Submiter, die die Klasse AsyncTask beerbt. Auch SubscribeService empfängt Parameter des Befehls aus dem Dispatcher, initialisiert CustomWebView und beginnt die Verarbeitung des Tasks mit Hilfe von SubscribeTask. SubscribeTask startet CustomWebView, wo die Verarbeitung der Eingangsparameter erfolgt, und es wird eine Entscheidung über den jeweiligen Mechanismus zur Umsetzung der Registrierung getroffen. Wenn nötig, wird CaptchaProcessor aufgerufen, der für die Interaktion mit dem Texterkennungsserver und für die Verarbeitung von Anfragen verantwortlich ist, die die Eingabe eines Bestätigungscodes und der auf der CAPTCHA Abbildung dargestellten Symbole erfordern.

    Fazit

    Aufgrund von Samples des Schädlings Trojan-SMS.AndroidOS.Podec, die Kaspersky Lab bereits zu einem früheren Zeitpunkt analysiert hat, lässt sich schlussfolgern, dass sich der Trojaner in einer aktiven Entwicklungsphase befindet. Der Code wird restrukturiert, es kommen neue Funktionen hinzu und die Architektur der Module wird überarbeitet.

    Wir meinen, dass dieser Trojaner von einer Gruppe von Android-Entwicklern in enger Zusammenarbeit mit Experten für Schwarze Suchmaschinenoptimierung entwickelt wird, die auf Betrug, illegale Geschäfte und Generierung von Traffic spezialisiert sind. Davon zeugen die folgenden Merkmale:

    1. das Verbreitungsschema im russischen Sozialen Netzwerk VKontakte unter Verwendung von Social-Engineering-Tricks.
    2. der Einsatz eines kommerziellen Schutzmechanismus.
    3. das raffinierte Diebstahl-Schema, das die Umgehung von CAPTCHA-Abfragen beinhaltet.

    Im Code der untersuchten Version von Trojan-SMS.AndroidOS.Podec sind weitere Funktionen enthalten, die bisher nicht eingesetzt werden, aber weitere Pläne der Virenschreiber verraten. So gibt es beispielsweise die Hilfsfunktion isRooted(), die überprüfen kann, ob der Besitzer des Gerätes die Rechte eines Superusers erhalten hat. Diese Funktion wird nicht im Hauptcode des Trojaners verwendet, was Anlass zu der Vermutung gibt, dass in den neuen Versionen ein Modul auftauchen wird, das mit der Nutzung von Superuser-Rechten in Zusammenhang steht.

    Nutzer der Produkte von Kaspersky Lab werden bereits vor allen existierenden Modifikationen des Trojaners Trojan-SMS.AndroidOS.Podec geschützt. Trotzdem empfehlen wir den Anwendern, ausschließlich Apps aus den offiziellen Stores zu installieren, beispielsweise Google Play. Lassen Sie sich auf keinen Fall von Cyberkriminellen dazu bringen, angeblich kostenlose, gehackte Apps herunterzuladen. Das finanzielle Risiko, das der Download und Start eines Trojaners mit sich bringt, übersteigt den Preis für die entsprechende legitime Software bei Weitem.

    Für Ihre Unterstützung bei der Recherche zu dem Artikel danken wir der Offenen Aktiengesellschaft „Mobile TeleSystems“, insbesondere den Experten für die Kontrolle des Partner-Traffics.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.