12 de marzo de 2015

PODEC. Troyano SMS que supera los CAPTCHA

En 2014 hubo una gran proliferación  de infecciones malware y uno de los virus informáticos que más llamó la atención de los investigadores fue un troyano SMS conocido como PODEC que permitía saltarse los sistemas de verificación CAPTCHA, utilizados en la actualidad en una gran cantidad de servicios.
A pesar de los esfuerzos de una gran cantidad de equipos de seguridad no se pudo obtener una versión de este que permitiese realizar un análisis exhaustivo. Sin embargo, este año la suerte ha sonreido al equipo de Kaspersky y han conseguido un ejecutable del virus denominado Trojan-SMS.AndroidOS.Podec. Este llamó la atención de los usuarios porque era capaz de esquivar las confirmaciones de los servicios de pago, provocando que el usuario enviase mensajes y archivos que implicaban un valor añadido. Aunque se llegó a rumorear de una versión disponible para el sistema operativo iOS, esta nunca se encontró y la que se ha analizado es la que se encuentra disponible para los usuarios de lo sistemas operativos Android.
Tras realizar un mapa de infecciones, se ha comprobado que la mayor tasa de infección se encuentra sobre todo en países pertenecientes a Europa del Este.
Cómo se extiende este PODEC
Principalmente se ha detectado que los ciberdelincuentes han recurrido a contenidos muy demandados por los usuarios, modificando la apariencia para así provocar que el usuario muestre curiosidad y descargue y ejecute el contenido.
Este es el listado de direcciones que permiten al acceso al archivo malicioso:
  • http://vk.com/vzlomannye_igry_dlya_android
  • http://vk.com/skachat_minecraft_0_9_0_android
  • http://vk.com/minecraft_pe_0_9
  • http://vk.com/vzlom_igry_android_mody
  • http://vk.com/igry_android_cheats
  • http://vk.com/android_mody_apk
  • http://vk.com/novye_igry_na_android
  • http://vk.com/skachat_hill_climb_racing_bpan
  • http://vk.com/na_android_igry
Haciendo uso del ataque Flood HTTP el troyano es capaz de suscribir el número de teléfono del usuario a servicios de tarificación especial sin que este sea consciente de lo que está sucediendo, provocando la sorpresa en la factura a final de mes. Con este tipo de ataque lo que provoca es que se puedan modificar las apariencias de las páginas, evitando de esta forma que por ejemplo aparezca en la pantalla del terminal del usuario el texto que indica el importe que supondrá dicha suscripción.
Aunque podamos pensar que con un antivirus la situación está controlada, la realidad es muy distinta y el malware está capacitado para evitar este tipo de herramientas.
Fuente: Viruslist
Publicado por en
Etiquetas: ,