歪んだ文字や数字を入力する「CAPTCHA」を突破できるマルウェアが出現、どういう仕組みなのか？

By JD

入力フォームやアカウント作成画面に表示される、歪んだ文字や数字を入力する認証ツールが「CAPTCHA」です。これは、人間とボットを区別するために作られた文字入力テストですが、最新のマルウェアはこのCAPTCHAすらも突破してしまうことが明らかになりました。

Kaspersky Lab discovers Podec: the first Trojan to trick CAPTCHA into thinking its human | Kaspersky Lab
http://www.kaspersky.com/about/news/virus/2015/Kaspersky-Lab-discovers-Podec-first-Trojan-to-trick-CAPTCHA-into-thinking-its-human

CAPTCHAは、インターネット上でアカウントを作成しようとしたり入力フォームにテキストを入力したりする際に出てくるコレのこと。

このCAPTCHAの文字入力を突破してしまうというマルウェアを発見したのは、ロシアのセキュリティソフトウェア開発企業カスペルスキーの研究所に勤めるセキュリティアナリスト。マルウェアの名前は「Trojan-SMS.AndroidOS.Podec(Podec)」で、Android端末を狙ったマルウェアです。このマルウェアが初めて発見されたのは2014年の終わり頃で、その後、複数回のアップデートを繰り返しながら進化してきたそうです。

PodecがどうやってCAPTCHAの文字入力を突破しているのかというと、最初に画像をテキスト化してくれるサービスの「Antigate.Com」へCAPTCHAの画像を送信します。すると、Antigate.Comでは人力で画像内の文字や数字がテキスト化されるので、これをPodecが入力して堂々とCAPTCHAのシステムを突破してしまう、というわけです。

このマルウェアの目的は「感染したAndroid端末を有料サービスなどに登録させること」で、この不正登録により金銭を得ているそう。

By Intel Free Press

カスペルスキー製のセキュリティソフトウェア「Kaspersky Security Network」を使って集められた情報によれば、Podecはロシアで人気のSNS「VKontakte」を通じてAndroidデバイスに感染しているケースが多いとのこと。Podecの感染経路をまとめたものが以下のグラフで、「apk-downlad3.ru」や「happynewyearmafaka.net」といったドメイン経由でも広がっているようですが、VKontakte(vk.com)経由で感染するユーザー数がずば抜けて多いのは明らか。

これらのドメインからどのようにしてPodecがAndroid端末にインストールされるかというと、「Minecraft Pocket Edition」のような人気ゲームのクラック版と称してAndroidユーザーにリンクを踏ませてインストールさせているのではないか、とカスペルスキーのセキュリティアナリストは分析しています。

実際にVKontakte内に張られたクラック版Minecraft Pocket Editionへのリンク。

なお、一度Podecに管理者権限を与えてしまうと、実行停止や削除が不可能になってしまうそうで、Podecはコードの分析を防ぐために最先端の技術を駆使していることも明らかになっています。このように、Podecは非常に洗練されたマルウェアであることが分かっており、「開発に多くの時間が費やされたであろうことが伺える」とカスペルスキーのアナリストはコメントしています。

なお、現在のところPodecによる被害にあっているのはロシア人Androidユーザーのみだそうで、カスペルスキー製のセキュリティアプリを使用している場合は、このPodecからしっかり保護されるようになっているそう。その他のAndroidユーザーがPodecを回避するための方法としては、「Google Play以外からアプリをインストールしないこと」が挙げられています。