Во «ВКонтакте» распространяется SMS-троянец, способный обходить CAPTCHA

Во «ВКонтакте» распространяется SMS-троянец, способный обходить CAPTCHA

Специалисты «Лаборатории Касперского» обнаружили SMS-троянца Podec, осуществляющего кражу денег у владельцев Android через тайную подписку на платные сервисы и способного обходить механизм CAPTCHA этих сервисов. Исследование показало, что основной площадкой распространения троянца служит социальная сеть «ВКонтакте».

Новый зловред примечателен своей функциональностью: он может отправлять сообщения на короткие номера, при этом корректно отвечая на запросы подтверждения оплаты услуги, а также подписывать жертву на платные сервисы, обходя механизм CAPTCHA, который призван отличать реального пользователя от бота. Такие возможности до этого не встречались ни в одном известном «Лаборатории Касперского» Android-троянце.

Наибольшее число попыток заражений (почти 4 тысячи уникальных пользователей) зарегистрировано в России, за ней с большим отрывом идет Казахстан и Украина (приблизительно 300 пользователей в каждой стране). Это неудивительно, учитывая, что основным каналом распространения является социальная сеть «ВКонтакте» – злоумышленники поддерживают в ней специальные группы, предлагающие пользователям Android скачать взломанные версии популярных приложений. При этом вместе с ожидаемой программой жертва получает установочный пакет троянца.

После запуска Podec запрашивает права администратора, чтобы укорениться на устройстве и предотвратить свое удаление пользователем или защитными решениями. В случае отказа троянец повторяет свой запрос до тех пор, пока не достигнет желаемого – нормальная работа с устройством при этом фактически невозможна. Получив права, зловред может прибегнуть к одному из вредоносных сценариев в зависимости от настроек в конфигурационном файле: к примеру, начать простейшую DDoS-атаку или же без ведома владельца устройства подписать его на платные сервисы. Последние довольно успешно до недавнего времени применяли механизм CAPTCHA с целью фильтрации программных запросов, но Podec обходит это препятствие. Как показал анализ, авторы троянца пользуется услугами Antigate.com – сервиса по ручному распознаванию текста на изображениях. Передавая картинку с буквами, они через несколько секунд получают распознанный сотрудником Antigate.com текст – в результате жертва без своего ведома оказывается подписана на платную услугу, о чем узнает только по списанию средств со счета.

Сравнивая ранее поступавшие образцы Podec, специалисты установили, что троянец находится в активной разработке. Код постоянно обновляется, появляются новые возможности, некоторые из которых пока даже не используются, перерабатывается архитектура модулей. С большой степенью вероятности можно утверждать, что скоро пользователи столкнуться с новой, более опасной версией.

«Плохая новость в том, что этот хитроумный троянец нацелен на кошельки владельцев Android, и для успешного выполнения атаки реализован нетривиальный функционал. Хорошая новость – пользователи продуктов «Лаборатории Касперского» защищены от всех существующих модификаций Podec. Мы хотим напомнить одну особенность заражений Android-платформ – чаще всего работу по доставке и установке зловреда выполняет сам пользователь. Поэтому в очередной раз настоятельно рекомендуем устанавливать приложения только из официальных магазинов, например, Google Play. Ни в коем случае нельзя поддаваться на провокации вирусописателей, подталкивающих к якобы бесплатному скачиванию взломанных платных приложений. Финансовый ущерб от скрывающегося в дистрибутиве троянца намного превосходит цену приложения в официальном магазине», – отметил Виктор Чебышев, руководитель группы исследования мобильных угроз «Лаборатории Касперского».

Telegram внезапно попросил Premium за цитаты — но, похоже, это баг

В Telegram у части пользователей появилась странная плашка: при попытке оформить цитату мессенджер предлагает оформить подписку Premium. Формально платными в Telegram действительно могут быть некоторые возможности расширенного форматирования и Markdown.

На проблему обратил внимание телеграм-канал «Код Дурова». Но обычные цитаты к премиальным функциям относиться не должны.

Поэтому новая плашка выглядит не как очередная монетизация всего живого, а скорее как техническая ошибка.

 

 

Тем более ограничение уже удалось обойти. Достаточно нажать «Сбросить и отправить» — Send Without Formatting. После этого предупреждение исчезает, а сама цитата в сообщении остаётся.

То есть Telegram пока как будто говорит: «Хотите цитату — платите». Но если нажать соседнюю кнопку, выясняется, что платить всё-таки не обязательно.

Вероятнее всего, речь идёт о баге интерфейса или проверки форматирования, который исправят в одном из следующих обновлений. Официальных пояснений от Telegram на момент публикации нет.

Пока же пользователям доступен простой обходной путь: сбросить форматирование перед отправкой и сохранить цитату без Premium. Монетизация не удалась, по крайней мере, в этот раз.

RSS: Новости на портале Anti-Malware.ru