Trojanec Acecard lahko napade aplikacije klientov več kot 30 bank in plačilnih sistemov

26.02.2016
Objavil: Dare Gliha

Raziskovalna ekipa Kaspersky Laba za boj proti zlonamerni programski opremi je zaznala enega najnevarnejših bančnih trojancev za naprave z operacijskim sistemom Android doslej. Zlonamerna programska oprema Acecard je zmožna napadanja uporabnikov skoraj 50 različnih spletnih finančnih aplikacij in drugih storitev ter lahko obide varnostne ukrepe spletne trgovine Google Play.

Strokovnjaki Kaspersky Laba so v tretjem četrtletju 2015 zaznali nenavadno povečanje v številu mobilnih bančnih napadov v Avstraliji. To se je zdelo sumljivo, hitro pa se je pokazalo, da je glavni vzrok za povečanje en bančni trojanec: Acecard.

Družina trojancev Acecard uporablja skoraj vse zmožnosti zlonamerne programske opreme, ki so trenutno na voljo: vse od kraje bančnih tekstovnih in glasovnih sporočil do preplavljanja uradnih oken v aplikacijah z lažnimi sporočili, ki simulirajo uradno stran za prijavo v račun z namenom kraje osebnih informacij in podrobnosti računa. Najnovejša različica v družini Acecard lahko napade aplikacije klientov v več kot 30 bankah in plačilnih sistemih. Glede na to, da so ti trojanci katerokoli aplikacijo sposobni preplaviti na ukaz, je celotno število napadenih finančnih aplikacij lahko še večje.

Poleg bančnih aplikacij lahko trojanec Acecard z okni za ribarjenje preplavi naslednje aplikacije:

• Storitve takojšnega sporočanja: WhatsApp, Viber, Instagram, Skype;
• Družbena omrežja: VKontakte, Odnoklassniki, Facebook, Twitter;
• Gmail poštni odjemalec;
• Mobilna aplikacija PayPal;
• Aplikaciji Google Play in Google Music.

Zlonamerna programska oprema je bila prvič zaznana februarja 2014, a dolgo ni kazala znakov zlonamerne dejavnosti. Do spremembe je prišlo v 2015, ko so raziskovalci Kaspersky Laba zaznali porast napadov: v obdobju od maja do decembra 2015 je trojanec napadel več kot 6.000 uporabnikov. Večina teh je bila iz Rusije, Avstralije, Nemčije, Avstrije in Francije.

Med dveletnim opazovanjem so strokovnjaki Kaspersky Laba opazili aktiven razvoj trojanca. Registrirali so več kot 10 novih različic zlonamerne programske opreme, vsaka naslednja pa je imela precej daljši seznam zlonamernih funkcij od svoje predhodnice.
Mobilne naprave so bile po navadi okužene po prenosu zlonamerne aplikacije, ki je bila videti kot uradna. Različice Acecard so navadno distribuirane kot aplikaciji Flash Player ali PornoVideo, včasih pa so uporabljena tudi druga imena, ki posnemajo uporabno in priljubljeno programsko opremo.

A to ni edini način distribucije te zlonamerne programske opreme. Dne 28. decembra 2015 so strokovnjaki Kaspersky Laba zaznali različico trojanca Acecard downloader – Trojan-Downloader.AndroidOS.Acecard.b – v uradni spletni trgovini Google Play. Trojanec je bil tam predstavljen pod krinko igre. Ko je zlonamerna programska oprema nameščena s spletne trgovine Google Play, uporabniki vidijo le ikono aplikacije Adobe Flash Player na domačem zaslonu in nobenega sledu o nameščeni aplikaciji.

Po podrobnem pregledu zlonamerne kode se strokovnjaki Kaspersky Laba nagibajo k mnenju, da je trojanec Acecard ustvarila ista skupina kibernetskih kriminalcev, ki je odgovorna za prvi trojanec TOR za operacijski sistem Android Backdoor.AndroidOS.Torec.a in prvi mobilni enkriptor / izsiljevalsko programje Trojan-Ransom.AndroidOS.Pletor.a.
Tako menijo na podlagi podobnih kodnih vrstic (imena metod in razredov) in uporabe enakih strežnikov za upravljanje in nadzor (ang. Command and Control servers ali C&C). To dokazuje, da je trojanec Acecard zasnovala močna in izkušena skupina verjetno rusko govorečih kriminalcev.

»Ta skupina kibernetskih kriminalcev uporablja virtualno vsak razpoložljiv način za posredovanje bančnega trojanca Acecard. Lahko je posredovan pod krinko drugega programa, prek uradnih spletnih trgovin z aplikacijami ali prek drugih trojancev. Značilnost te zlonamerne programske opreme je, da je zmožna preplaviti več kot 30 bančnih in plačilnih sistemov, pa tudi družabne medije, sisteme za neposredno sporočanje in druge aplikacije. Kombinacija zmožnosti trojanca Acecard in načinov posredovanja tega mobilnega bankirja uvršča med eno najnevarnejših groženj današnjih dni,« opozarja Roman Unuchek, starejši analitik zlonamerne programske opreme pri Kaspersky Labu v združenih državah Amerike.

Kaspersky Lab za preprečitev okužbe priporoča naslednje:

- Ne prenašajte in/ali nameščajte katerekoli aplikacij iz spletne trgovine Google Play ali notranjih virov, če jim ne zaupate ali jih dojamete kot nevredne zaupanja;
- Ne obiskujte sumljivih spletnih strani s specifično vsebino in ne klikajte sumljivih povezav;
- Namestite zanesljivo varnostno rešitev na mobilnih napravah, kot je Kaspersky Internet Security for Android;
- Poskrbite, da so protivirusne podatkovne baze posodobljene in da ustrezno delujejo.