01/03/2016

Acecard — trojan dla Androida

Zagrożenia

Wygląda na to, że pojawił się nowy scenariusz na ewolucję szkodliwych programów: na początku cyberprzestępcy udostępniają szkielet z podstawowymi funkcjami, który zachowuje się cichutko i prawie nie wykazuje szkodliwej aktywności. Zazwyczaj wpada w oko kilku firmom antywirusowym tuż po pojawieniu się, lecz badacze traktują go jak kolejny kawałek potencjalnie szkodliwego kodu: nic szczególnie interesującego.

acecard-banking-trojan-FB

Po jakimś czasie trojan (bo zazwyczaj jest to trojan) otrzymuje dodatkowe funkcje i staje się bardziej niebezpieczny niż jego pierwotna wersja. W trzecim koku zaczyna się kampania ataków masowych: infekowane są tysiące urządzeń, a trojan wykonuje swoją brudną robotę. Rozmiar strat zależy od rodzaju trojana — może okazać się zarówno programem typu ransomware żądającym nawet kilkuset dolarów, trojanem bankowym kradnącym wszystko, co się da, z Twojej karty kredytowej, narzędziem szpiegującym itp.

klp_infografika_acecard_ewolucja_trojana

Taki właśnie scenariusz wykorzystał Asacub, który na początku pojawił się jako zwykły program phishingowy, a następnie przekształcił się w trojana bankowego z całkiem potężnym arsenałem. Teraz tą drogą podążył Acecard, jednak wydaje się on być jeszcze bardziej niebezpieczny niż Asacub.

Acecard to rodzina trojanów dla platformy Android, na którą składa się kilka modyfikacji tego samego trojana. Tak jak w przypadku większości trojanów bankowych, nakłada on na aplikacje bankowości mobilnej swoją warstwę phishingową, na której niczego niepodejrzewający użytkownik może wprowadzić dane swojej karty kredytowej. Po kliknięciu przycisku „Wyślij” (lub analogicznego) dane są kradzione i sprzedawane podmiotom trzecim, a pieniądze przesyłane z karty na fałszywe rachunki przestępców.

Acecard odróżnia się od pozostałych zagrożeń z dwóch powodów. Po pierwsze, popularne trojany bankowe zazwyczaj potrafią modyfikować zaledwie kilka aplikacji bankowości mobilnej, natomiast Acecard jest kompatybilny z ok. 30 różnymi bankami i systemami płatności. Acecard może także odbierać polecenia z serwera C&C, aby pokryć DOWOLNĄ aplikację, zatem liczba atakowanych programów może być jeszcze większa.

Po drugie, nie ogranicza się jedynie do aplikacji bankowych. Acecard może zostać użyty także w celu phishingowych w mobilnych aplikacjach do sieci społecznościowych (Facebook, Twitter, Instagram), komunikatorów (WhatsApp, Viber, Skype) i — co ciekawe — aplikacji PayPal i klienta Gmail. Ponadto może nakładać okna phishingowe na Google Play Store i Google Play Music.

acecard-overlays

Trojan Acecard ma wiele „twarzy”

Acecard nie jest dystrybuowany jak zwykły spam, czyli e-pocztą, ale występuje pod przykrywką czegoś przydatnego, np. udaje Adobe Flash. W tym miejscu należy przypomnieć, że Flash dla Androida został wycofany w 2012 roku, więc żadna aplikacja Flash Player dla Androida nie jest oryginalna. Jednak nie był to jedyny kanał dystrybucji — nasi badacze wykryli w Sklepie Google Play trojana, który pobiera Acecard.

Po raz pierwszy Acecard został wykryty w lutym 2014 roku i, jak już wspominaliśmy, nie wykazywał szkodliwej aktywności. Ponad półtora roku zajęło cyberprzestępcom przekucie Acecarda w realne zagrożenie, a w każdej jego wersji dodawali nową funkcję. Nasi eksperci wykryli ponad 10 różnych wersji tego szkodliwego programu, przy czym każda nowo zbudowana uzyskiwała coraz więcej szkodliwych możliwości. Nowoczesne wersje są na tyle potężne i wszechstronne, że Roman Unuchek, starszy analityk szkodliwego oprogramowania w Kaspersky Lab, nazwał Acecarda jednym z najbardziej niebezpiecznych zagrożeń dla użytkowników.

Ataki rozpoczęły się w maju 2015 roku. W okresie od maja do września 2015 roku zaatakowanych zostało ponad 6000 użytkowników. Sam Acecard jest odpowiedzialny za masowy wzrost liczby ataków na e-bankowość w Australii, ochoczo atakował także użytkowników w Rosji, Niemczech, Austrii i Francji. Podejrzewa się, że za Acecardem stoją rosyjskojęzyczni cyberprzestępcy.

klp_infografikaacecard_mapa_ofiar

Aby ochronić się przed Acecardem i podobnymi zagrożeniami, warto stosować się do poniższych wskazówek:

  1. Zwracaj uwagę na to, jakie instalujesz aplikacje. Przykładowo podczas działania Acecard nie wyświetlał nic oprócz logo Flash Playera, ale ważny jest tu fakt, że obecnie nie istnieje oryginalny Flash Player dla Androida.
  2. Nie pobieraj aplikacji z nieoficjalnych sklepów, a podczas korzystania z oficjalnych nie pobieraj aplikacji, którym nie ufasz lub których naprawdę nie potrzebujesz. Hakerzy potrafią omijać zabezpieczenia Google Play i Twoja nowa tapeta z kotem może okazać się zainfekowana.
  3. Używaj solidnego programu zabezpieczającego. Kaspersky Internet Security for Android wykrywa wszystkie znane wersje Acecard, przez co gwarantuje dobrą ochronę zarówno przed nim, jak i zagrożeniami z jego rodziny.