Kaspersky a découvert Podec, le premier cheval de Troie

à faire croire à un système CAPTCHA qu'il est humain

Le spécialiste en sécurité Kaspersky a donné des détails sur ce qu’il pense être le premier logiciel malveillant à déjouer le système de reconnaissance d’image CAPTCHA. Baptisé Podec, le logiciel utilise des techniques pour convaincre le système qu’il est une personne dans le but d’infecter des milliers d’utilisateurs Android et de les abonner à des services surtaxés.

Le cheval de Troie, qui a été détecté pour la première fois en fin 2014 et qui a déjà évolué depuis, transmet automatiquement des demandes de CAPTCHA à un service de conversion en temps réel humaine en ligne qui sera alors chargée de convertir les images en texte. Le logiciel contourne également le conseil sur la facturation du système, qui informe les utilisateurs sur les prix d’un service et requiert une autorisation avant un paiement quelconque.

Kaspersky estime que Podec se focalise sur les dispositifs Android qui sont utilisés pour se connecter au média social populaire russe qu’est VKontakte bien que d’autres sources aient été découvertes.

L’infection se produit généralement lorsqu’un utilisateur clique sur un lien qui est supposé le mener à une version d’un jeu et son crack à l’instar de Minecraft Pocket Edition. Les liens apparaissent sur des pages de groupe et appâtent les potentielles victimes en exhibant des applications gratuites qui comportent des fichiers de petites tailles. Une fois qu’un dispositif est infecté, Podec demande des droits administrateurs qui, une fois qu’ils lui sont accordés, rendent impossible l’arrêt de son exécution voire sa suppression.

Le cheval de Troie utilise également des techniques pour empêcher toute analyse de son code via un obscurcissement ainsi qu’un code de protection légitime qui rendent difficile l’accès au code source de cette application Android. « Podec marque une nouvelle et dangereuse phase de l’évolution des logiciels malveillants sur mobile. Il est sournois et sophistiqué » a déclaré Victor Chebyshev, responsable d’un groupe de recherche de Kaspersky.

« Les outils d’ingénierie sociale utilisés dans sa distribution, la protection commerciale utilisée pour dissimuler le code malveillant et le processus complexe d’extorsion de fonds réalisés en passant le test CAPTCHA – tous ces éléments nous emmène à penser que ce cheval de Troie a été développé par une équipe de développeurs Android spécialisée dans la fraude et la monétisation illégale » a-t-il ajouté.

« Il est évident que Podec va encore évoluer, probablement avec de nouvelles cibles et d’autres objectifs à atteindre, et nous encourageons les utilisateurs à faire attention aux liens et aux offres qui semblent trop belles pour être vraies » a-t-il déclaré.

Keith Bird, le directeur général de l’expert en sécurité anglais Check Point, a déclaré que le logiciel malveillant a utilisé des exploits ‘man-in-the-middle’ pour contourner l’authentification lors de précédentes attaques comme l’attaque Eurograbber de 2012 sur les services bancaires mobiles qui ciblait les utilisateurs avec une variante du cheval de Troie Zeus-in-the-mobile (Zitmo).

« Mais Podec semble avoir été créé pour diffuser, infecter des appareils et abonner des utilisateurs à des services surtaxés à l’échelle industrielle. Le fait qu’il se propage sur le site russe de réseautage social VK.com qui a près de 300 millions d’utilisateurs soutient cette théorie » a avancé Bird.

« Les entreprises ont besoin de protéger les dispositifs mobiles de leurs employés par un sandboxing afin de protéger et contrôler les applications et l’utilisation des données. Quant à eux, les utilisateurs doivent faire attention aux applications et jeux qu’ils téléchargent en se rendant uniquement aux sources officielles afin de minimiser le risque d’infection » a-t-il expliqué.

Le Directeur Technique du NCC Group Ollie Whitehouse, explique que Podec n’a pas de capacité de propagation interne. Les utilisateurs ont « besoin d’être convaincus de l’installer via l’ingénierie sociale ou d’autres moyens indirects »

Source : Kaspersky