Gửi lúc: 01/04/2015 10:11:35
Bookmark and Share

Podec - Trojan đầu tiên vượt qua CAPTCHA

Các chuyên gia của Kaspersky Lab đã phát hiện mầm mống của một loại trojan chuyên về tin nhắn SMS vào cuối năm 2014. Đầu năm 2015, họ đã ngăn chặn một phiên bản đầy đủ chính thức của Trojan-SMS.AndroidOS.Podec.

Đây là lần đầu tiên Kaspersky Lab đã gặp phải loại mã độc lây nhiễm trong các phiên bản của hệ điều hành Android. Từ việc phân tích mã nguồn, các chuyên gia xác định được đó là phiên bản Trojan-SMS.AndroidOS.Podec ver. 1.23. Hàm băm của nó là: 72ADCF52448B2F7BC8CADA8AF8657EEB /0D5708158B8782F115670BD51833AC5C. Phiên bản này đã lây nhiễm ở Nga, Kazakhstan, Ukraine, Belarus và Kyrgyzstan.

Theo số liệu thu thập được từ hệ thống an ninh mạng của Kaspersky thì các Trojan độc hại lây lan từ những tên miền như là Apk-downlad3.ru, minergamevip.com,… và các máy chủ lưu trữ thông tin của người sử dụng các mạng xã hội phổ biến Nga VKontakte (VK, vk.com). Trojan-SMS.AndroidOS.Podec được quản lý và điều khiển bởi các máy chủ C&C, chúng có khả năng thực hiện những nội dung sau: Thu thập thông tin về thiết bị, danh sách các ứng dụng được cài đặt trong thiết bị; Gửi tin nhắn SMS; Thiết lập một bộ lọc cho các cuộc gọi đến/đi, tin nhắn đến…



Một tính năng được các chuyên gia đặc biệt chú ý là Trojan-SMS.AndroidOS.Podec có khả năng nhận dạng CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Đây là một loại thủ tục được sử dụng để xác định người dùng có phải là con người hay không. Nếu trả lời đúng các ký tự trong CAPTCHA, người dùng vượt qua thử thách và đi tiếp các bước tiếp theo của chương tình. Các chuyên gia rất ngạc nhiên là Podec cũng có khả năng tự động chuyển tiếp yêu cầu CAPTCHA đối với người dùng để kéo dài thời gian thực hiện dịch vụ trực tuyến; thông báo cho người dùng về giá cả của dịch vụ và yêu cầu ủy quyền thanh toán. Mục tiêu của Trojan là để lấy tiền từ các nạn nhân thông qua các dịch vụ trực tuyến đối với hệ thống Android.

Người ta nghi ngờ các chuyên gia tạo kỹ thuật SEO (Search Engine Optimization) đen đã tham gia vào việc phân phối các Trojan thông qua các ứng dụng giả dạng. Một ứng dụng giả dạng điển hình có tên là 'Minecraft Pocket Edition' với các tập tin có kích thước là 688 KB, trong khi đó kích thước của ứng dụng Minecraft chính thức là 10-13 MB.

Các chuyên gia nhận định rằng, giới tội phạm mạng đầu tư nhiều thời gian và nỗ lực để phát triển Trojan Podec, tích hợp các kỹ thuật bảo vệ, tạo ra các lớp che giấu phức tạp… để ngăn chặn việc phân tích cũng như truy cập vào mã nguồn. Ngoài ra, còn rất nhiều tính năng cần được khám phá trong mã độc Trojan-SMS.AndroidOS.Podec này. 

Nguyễn Ngoan (Nguồn Kaspersky Lab)