Echipa de cercetare anti-malware Kaspersky Lab a descoperit unul dintre cei mai periculoși troieni bancari pentru dispozitive cu Android. Programul malware Acecard este capabil să atace utilizatorii unui număr de aproximativ 50 de aplicații financiare și de servicii și să evite măsurile de securitate Google Play.
În T3 2015, experții Kaspersky Lab au detectat o creștere neobișnuită a numărului de atacuri pe mobile banking din Australia. Părea ceva suspect și foarte curând s-a descoperit că motivul principal pentru această creștere era un troian bancar: Acecard.
Familia de troieni Acecard folosește aproape toate funcționalitățile unui program malware, disponibile în prezent – de la furtul mesajelor text și voce ale băncii, la suprapunerea unor ferestre false peste aplicațiile oficiale, pentru a simula pagina de login a acestora, în încercarea de furt de informații personale și despre cont.
Cea mai recentă versiune a familiei Acecard poate să atace aplicațiile pentru clienți de la aproximativ 30 de bănci și sisteme de plată. Având în vedere că acești troieni sunt capabili să se substituie oricărei aplicații la comandă, numărul total de aplicații financiare atacate poate fi mult mai mare.
În afară de aplicații bancare, Acecard poate interveni peste următoarele aplicații, cu ferestre de phishing:
- Servicii de mesagerie: WhatsApp, Viber, Instagram, Skype;
- Rețele de socializare: Facebook, Twitter, VKontakte, Odnoklassniki;
- Conturi de Gmail;
- Aplicația PayPal pentru mobil;
- Aplicațiile Google Play și Google Music
Programul malware a fost detectat inițial în februarie 2014, dar pentru o lungă perioadă nu a dat aproape niciun semn că ar fi activ. Lucrurile s-au schimbat în 2015, când cercetătorii Kaspersky Lab au descoperit o revenire a atacurilor: între mai și decembrie 2015, peste 6.000 de utilizatori au fost atacați cu acest troian. Cei mai mulți sunt din Rusia, Australia, Germania, Austria și Franța.
În timpul celor doi ani în care l-au ținut sub observație, cercetătorii Kaspersky Lab au fost martorii dezvoltării sale. Aceștia au înregistrat peste 10 versiuni noi de malware, fiecare cu o listă mai lungă și mai dăunătoare de funcționalități.
Dispozitivele mobile erau, de regulă, infectate după ce utilizatorii descărcau o aplicație malware deghizată în cea legitimă. Versiunile de Acecard sunt distribuite în mod tipic ca Flash Player sau PornoVideo, deși sunt folosite și alte nume, în încercarea de a imita programe utile sau populare.
Programul malware mai este distribuit și în alte moduri. Pe 28 decembrie 2015, experții Kaspersky Lab au detectat o versiune a troianului Acecard în magazinul oficial Google Play. Troianul se răspândește sub forma unui joc. Când programul malware este instalat din Google Play, utilizatorul va vedea doar un icon de Adobe Flash Player pe desktop și niciun un alt semn al aplicației instalate. După ce au observat atent codul malware, experții Kaspersky Lab tind să creadă că Acecard a fost creat de același grup de infractori cibernetici responsabil de apariția primului troian TOR pentru Android și a primului program malware care criptează fișiere/ ransomware pentru dispozitive mobile.
Dovezile se bazează pe liniile de cod asemănătoare și folosirea acelorași servere de comandă și control (C&C). Acestea arată că Acecard a fost creat de o grupare puternică și cu experiență de infractori, cel mai probabil vorbitori de limbă rusă.
“Acest grup de infractori cibernetici folosește toate metodele disponibile în prezent pentru a răspândi troianul Acecard. Acesta poate fi distribuit sub forma unui alt program, prin intermediul magazinelor oficiale de aplicații sau prin intermediul altor troieni. O trăsătură distinctivă este capacitatea de a se substitui unui număr de peste 30 de sisteme bancare și de plată, precum și unor aplicații de social media sau de mesagerie. Capacitățile distructive ale Acecard și metodele de propagare fac din acest troian bancar pentru dispozitive mobile una dintre cele mai periculoase amenințări actuale pentru utilizatori”, avertizează Roman Unuchek, Senior Malware Analyst la Kaspersky Lab SUA.
Pentru a preveni contactarea acestui virus, Kaspersky Lab recomandă utilizatorilor:
– Să nu descarce sau/și să instaleze orice aplicație din Google Play sau din surse interne dacă există suspiciuni asupra ei;
– Să nu viziteze pagini suspecte și sa nu dea click pe link-uri suspecte;
– Să instaleze o soluție de securitate de încredere pe dispozitivele mobile, cum este Kaspersky Internet Security for Android;
– Să se asigure că bazele de date ale antivirusului sunt la zi și funcționează corespunzător.