Fieser SMS-Trojaner umgeht CAPTCHA und stiehlt Geld

Der Trojaner Podec infiziert Android-Handys, um Geld zu stehlen. Dabei kann er sogar CAPTCHAs umgehen.

Die Kaspersky-Experten haben ein neues, gefährliches Schadprogramm entdeckt, das Geld von Nutzern raubkopierter Inhalte stiehlt. Der Trojaner Podec nutzt so genannte Black-Hat-SEO-Techniken und missbraucht soziale Netzwerke (vor allem das russische Netzwerk VKontakte, das mittlerweile auch als VK.com bekannt ist), um Android-Smartphones zu infizieren und Geld zu stehlen.

podec-FBDie Cyberkriminellen haben für die Verbreitung ihres Machwerks zahlreiche Gruppen auf VKontakte geschaffen und die schädliche App getarnt als beliebte Spiele, unter anderem Minecraft, hochgeladen. Es scheint, dass die Kriminellen mit SEO-Spezialisten zusammenarbeiten, um Nutzer auf die gefälschten Fangruppen zu bringen.

Wenn sie gestartet wird, verlangt die schädliche App Administratorrechte für das Gerät. Stimmt der Anwender zu, kann er das Schadprogramm nicht mehr von dem infizierten Gerät löschen. Lehnt der Anwender dieses Recht ab, wiederholt der Trojaner die Anfrage so lange, bis es gewährt wird. Damit blockiert der Schädling die normale Nutzung des Geräts.

Anschließend lädt der Schädling die echte Minecraft-App herunter und installiert diese, löscht seinen Shortcut aus der App-Liste und ersetzt ihn mit dem Shortcut zur echten Minecraft-App.

Der installierte Trojaner hat dann drei Szenarien zur Auswahl: Er kann das Handy in ein Botnetz integrieren, um DDoS-Attacken durchzuführen. Das ist aus mehreren Gründen schlecht: Zum einen wird das Handy für ein Verbrechen missbraucht, zum anderen verbraucht das Handy-Ressourcen, inklusive Internet-Verkehr, für den das Opfer bezahlen muss.

Zudem kann der Trojaner ein infiziertes Handy missbrauchen, um den Besucherzähler bestimmter Webseiten hochzutreiben. Das Opfer muss natürlich auch in diesem Fall für den Internet-Verkehr zahlen.

Das dritte Szenario ist für die meisten Anwender allerdings das schlimmste: Podec abonniert kostenpflichtige Inhalte unter der Handynummer des infizierten Smartphones, die teilweise extrem teuer sein können (die Kosten einer einzigen dieser abonnierten SMS können zwischen 50 Cent und 10 Euro liegen). Da diese Kosten heimlich und regelmäßig abgebucht werden, können Anwender, die wirklich mehrere Dienste abonniert haben, einige Zeit brauchen, um herauszufinden, wohin und wie Geld aus ihrem Konto verschwindet.

Zudem kann der Trojaner so genannte CAPTCHA-Challenge-Response-Tests umgehen, die dazu dienen sollen, echte Menschen von automatischen Programmen zu unterscheiden. Dafür nutzt Podec eine einfallsreiche Technologie: Der Schädling gibt die CAPTCHA-Anfrage an einen indischen Echtzeit-Bild-zu-Text-Dienst namens Antigate.com weiter. Dieser Service arbeitet wie ein Call Center: Innerhalb weniger Sekunden wird die CAPTCHA-Anfrage von einem Mitarbeiter bearbeitet und die richtige Antwort an Podec zurückgeschickt. Podec ist damit der erste Trojaner, der so eine besondere Lösung nutzt und damit die CAPTCHA-Herausforderung meistert.

Die fiese App kann die Spuren des Verbrechens sauber verwischen und alle gespeicherten Anrufe und Nachrichten auf dem Handy löschen.

Darüber hinaus kann die fiese App die Spuren des Verbrechens sauber verwischen und alle gespeicherten Anrufe und Nachrichten auf dem Handy löschen. Weitere ausführliche Informationen zu Podec finden Sie in einem aktuellen Artikel auf Securelist.

Die Kaspersky-Experten beobachteten den Trojaner seit Ende des vergangenen Jahres, doch der Schädling nutzt eine hochentwickelte Technik, um die Analyse seines Codes zu verhindern. Anfang 2015 fingen unsere Analysten eine voll entwickelte Version ab – der neue Trojaner scheint laufend weiterentwickelt zu werden, so dass man davon ausgehen kann, dass bald neue, gefährlichere Versionen von Podec auftauchen werden.

Aber es gibt auch gute Nachrichten: Das Management von VKontakte berichtet, dass das Unternehmen einige der gefälschten Gruppen gelöscht hat (allerdings kann niemand garantieren, dass alle solche Gruppen entfernt wurden). Und natürlich sind alle Nutzer von Kaspersky Internet Security for Android vor allen bekannten Varianten von Podec geschützt.

Kaspersky Lab empfiehlt zudem, nur Apps aus legitimen App Stores zu installieren.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.