CAPTCHAをすり抜け、お金を盗むSMS型トロイの木馬、Podec

2015年3月20日

Kaspersky Labのエキスパートは、海賊版コンテンツの愛用者から金銭を盗もうとする危険なマルウェアを新たに確認しました。このトロイの木馬Podecは、ブラックハットSEOの手法とメジャーなSNS(特に、ロシア発祥の人気SNSであるVKontakte、別名VK.com)を利用してAndroidスマートフォンに感染し、金銭を奪います。

podec-VK

ハッカーはPodecを拡散させるため、VKontakteに多数のグループを作成し、有名なモバイルゲーム(Minecraftなど)に偽装したアプリをアップロードしました。犯罪者たちはSEOの専門家と手を組んで、ユーザーを偽のファングループにおびき寄せたとみられます。

この悪意あるアプリを起動すると、デバイスの管理者権限を要求されます。要求に同意すると、感染したデバイスからこのマルウェアを削除できなくなります。拒否しても、権限が与えられるまで同じ要求が繰り返されます。つまり、事実上、デバイスを正常に使用できなくなるのです。

次に、このアプリは正規のMinecraftアプリをダウンロードしてインストールし、アプリ一覧からPodecのショートカットを削除して、本物のMinecraftのショートカットに置き換えます。

正常にインストールされたPodecは数種類のシナリオに従って動作します。1つめのシナリオでは、スマートフォンをボット化してDDoS攻撃を開始します。ここで問題なのは、まず、スマートフォンが犯罪に使われること。そして、有料のインターネットトラフィックなど、スマートフォンのリソースが使用されることです。

2つめのシナリオでは、スマートフォンを使って、Webサイトの訪問者数を増やします。もちろん、この場合も、ユーザーがインターネットトラフィックの料金を支払わなければなりません。

被害に遭ったユーザーにとって最悪なのは3つめのシナリオです。Podecはユーザーの電話番号を使って、有料コンテンツを購読するのです。かなり高額のコンテンツが勝手に購読されてしまう場合もあります(SMS 1通あたりの料金は50セントから10ドルと幅があります)。料金はこっそりと定期的に引き落とされるため、すでに数種類のサービスを購読しているユーザーは、相当な時間と労力をかけて調べなければ、自分の口座のお金が何のために、どこへ消えているのか、わからないかもしれません。

注目に値するのは、PodecがCAPTCHAチャレンジ/レスポンス型テストを見事に突破できる点です。CAPTCHAは本来、人間とロボットを区別するために設計されたものですが、Podecはこれをすり抜けるために極めて独創的な手法を採用しています。まず、リアルタイムで画像を文字に変換してくれるインドのサービス、Antigate.comにCAPTCHAリクエストを送ります。Antigate.comはコールセンターのような役割で、数秒以内に誰かがCAPTCHAリクエストに気づき、正しい答えをPodecに送り返します。このように型破りな方法でCAPTCHAという難関を突破したトロイの木馬はこれが初めてです。

この狡猾なアプリは犯罪の痕跡を見事に隠ぺいし、発信履歴やメッセージをスマートフォンから削除

さらに、この狡猾なアプリは犯罪の痕跡を見事に隠ぺいし、発信履歴やメッセージをスマートフォンから削除します。

Podecについては、Securelistに詳しい調査結果がありますので、そちらをご覧ください。

Kaspersky Labのエキスパートは、昨年末からこのSMS型トロイの木馬を追跡していました。Podecは非常に高度な技術を駆使してコード分析を阻止していましたが、2015年初め、当社のアナリストは完全なバージョンを捕獲しました。Podecは現在も開発中とみられ、より危険性の高い新バージョンが近々Webに登場する可能性は十分にあります。

良い知らせもあります。まず、VKontakteの役員会は、同社のサイトから偽のグループの一部を削除したとしています(ただ、偽グループがすべて削除されたという保証はどこにもありません)。さらに、カスペルスキー インターネット セキュリティ for AndroidはPodecの既知の亜種をすべて検知します。

googleplay

Kaspersky Labは、すべてのユーザーに正規ストアのアプリだけをインストールすることをお勧めしています。