Os especialistas do Avance Network detectaram um novo malware perigoso que visa roubar dinheiro dos fãs de conteúdo pirateado. O Podec Trojan usa técnicas de SEO de black hat e redes sociais populares (em particular, a famosa rede social VKontakte originalmente russa também conhecida como VK.com) para infectar smartphones Android e roubar dinheiro.

Para espalhar o Podec, os hackers criaram vários grupos no VKontakte e carregaram o aplicativo sob o pretexto de jogos populares para celular, como o Minecraft. Os criminosos trabalharam lado a lado com especialistas em SEO para atrair usuários para grupos de fãs falsos.

Quando iniciado, o aplicativo malicioso solicita privilégios de administrador do dispositivo. Quando um usuário concorda, ele não pode mais remover o malware do dispositivo infectado. Se o usuário rejeitar a solicitação, o cavalo de Tróia continuará repetindo-a até que o privilégio seja concedido. Na verdade, esse processo bloqueia efetivamente o uso normal do dispositivo.

Em seguida, o aplicativo baixa e instala o aplicativo Minecraft legítimo, exclui seu atalho da lista de aplicativos e o substitui pelo atalho real do Minecraft.

Um Trojan instalado com êxito tem alguns cenários a seguir. Ele pode transformar um telefone em parte de um botnet para lançar um ataque DDoS, o que é ruim por vários motivos: primeiro, seu telefone é usado para cometer um crime. Em segundo lugar, o bot vilão usa recursos de telefones, incluindo tráfego de internet pago.

O Trojan também pode usar seu telefone para aumentar os contadores de visitantes de um site. Obviamente, nesse cenário, a vítima também terá que pagar pelo tráfego da Internet.

No terceiro cenário, o pior para usuários específicos, o Podec assina o número de telefone para conteúdo pago que pode ser bastante caro (o custo de um SMS varia de US $ 0,5 a US $ 10). Como o dinheiro é deduzido secretamente e regularmente, os usuários que já assinam vários serviços podem gastar muito tempo e esforço tentando descobrir como seu dinheiro está saindo de suas contas e para onde está indo.

É importante notar que um cavalo de Tróia pode ignorar com sucesso um teste de desafio-resposta CAPTCHA que foi inicialmente projetado para distinguir um humano de um robô. Para esse propósito, o Podec usa uma tecnologia particularmente inventiva: ele passa as solicitações CAPTCHA para um serviço indiano de reconhecimento de imagem para texto em tempo real chamado Antigate.com. Este serviço funciona como um call-center. Em segundos, uma pessoa reconhece uma solicitação CAPTCHA e envia a resposta certa de volta ao Podec. É o primeiro Trojan que adquiriu uma solução 'out of the box' para o desafio CAPTCHA resolvido.

[Pullquote] O aplicativo maldoso pode esconder de forma brilhante os rastros de seu crime e remover registros de chamadas e mensagens do telefone. [/ Pulquote]

O aplicativo medíocre pode ocultar de maneira brilhante rastros de seu crime e remover registros de chamadas e mensagens do telefone.

Os especialistas do Avance Lab rastrearam esse Trojan SMS desde o final do ano passado, pois ele usava técnicas altamente sofisticadas para evitar qualquer análise de seu código. No início de 2015, nossos analistas interceptaram uma versão completa. O novo Trojan parece estar em desenvolvimento e é bem possível que haja uma versão nova e ainda mais perigosa do Podec na web em breve.

Existem boas notícias. O conselho de administração do VKontakte afirma que a empresa removeu alguns dos grupos falsos de seu site (mas não há garantia de que todos eles tenham sumido). Todos os usuários do Avance Network não correm risco: eles já estão protegidos de todas as modificações e atualizações.