Kaspersky Lab wykrył jednego z najniebezpieczniejszych w historii trojanów bankowych dla Androida. Szkodnik o nazwie Acecard potrafi atakować użytkowników niemal 50 różnych aplikacji finansowych i serwisów online, a ponadto jest w stanie obchodzić mechanizmy bezpieczeństwa sklepu Google Play. W trzecim kwartale 2015 r. eksperci z Kaspersky Lab wykryli niespotykany wzrost liczby ataków na bankowość mobilną w Australii.
Wyglądało to podejrzanie i wkrótce okazało się, że głównym powodem tego wzrostu jest jeden trojan bankowy: Acecard.
Rodzina trojanów Acecard stosuje niemal wszystkie dostępne obecnie funkcje szkodliwego oprogramowania – od kradzieży wiadomości tekstowych i głosowych banku po nakładanie na oficjalne okna aplikacji fałszywych komunikatów, które podszywają się pod oficjalną stronę logowania w celu kradzieży informacji osobowych oraz danych dotyczących konta. Najnowsze wersje trojanów z rodziny Acecard potrafią atakować aplikacje około 30 banków oraz systemów płatności. Jednak biorąc pod uwagę to, że trojany te potrafią „nałożyć się” na aplikację lub stronę WWW na polecenie cyberprzestępcy, łączna liczba atakowanych zasobów może być znacznie większa.
Oprócz aplikacji bankowych Acecard może nałożyć okna phishingowe na następujące aplikacje:
- komunikatory: WhatsApp, Viber, Instagram, Skype,
- portale społecznościowe: Facebook, Twitter i inne,
- klient poczty Gmail,
- aplikacja mobilna PayPal,
- aplikacje Google Play i Google Music.
Szkodnik ten został po raz pierwszy wykryty w lutym 2014 r., ale przez długi czas nie wykazywał niemal żadnych oznak szkodliwej aktywności. Wszystko zmieniło się w 2015 r., gdy badacze z Kaspersky Lab zidentyfikowali nagły wzrost liczby ataków: w okresie od maja do grudnia 2015 r. trojan zaatakował ponad 6 000 użytkowników urządzeń z Androidem. Większość z nich mieszkało w Rosji, Australii, Niemczech, Austrii i Francji. Ofiary trojana zostały także zidentyfikowane w Polsce.
W ciągu dwóch lat monitorowania badacze z Kaspersky Lab obserwowali aktywny rozwój omawianego trojana. Zarejestrowali ponad 10 nowych wersji tego szkodnika, z których każda zawierała znacznie dłuższą listę szkodliwych funkcji niż poprzednia.
Jak Acecard infekuje urządzenia z Androidem
Infekcja urządzeń mobilnych następowała zwykle na skutek pobrania szkodliwej aplikacji podszywającej się pod legalny program. Wersje trojana Acecard są zwykle rozprzestrzeniane jako Flash Player lub PornoVideo, niekiedy jednak wykorzystywane są inne nazwy imitujące przydatne i popularne oprogramowanie.
Nie jest to jedyny sposób rozprzestrzeniania tego szkodliwego oprogramowania. 28 grudnia 2015 r. eksperci z Kaspersky Lab zidentyfikowali w oficjalnym sklepie Google Play odmianę trojana Acecard podszywającą się pod grę. Gdy szkodliwe oprogramowanie jest instalowane ze sklepu Google Play, użytkownik widzi na ekranie urządzenia mobilnego jedynie ikonę Adobe Flash Player bez żadnych oznak zainstalowanej aplikacji.
Kto za tym stoi?
Wnikliwa analiza kodu szkodliwego oprogramowania skłania ekspertów z Kaspersky Lab do opinii, że Acecard został stworzony przez tę samą grupę cyberprzestępców, która była odpowiedzialna za pierwszego androidowego trojana wykorzystującego sieć TOR – Backdoor.AndroidOS.Torec.a – oraz pierwszego mobilnego programu szyfrującego/ransomware – Trojan-Ransom.AndroidOS.Pletor.a. Świadczą o tym podobne fragmenty kodu (nazwy metod i klas) oraz wykorzystanie takich samych serwerów kontroli. To dowodzi, że Acecard został stworzony przez potężne i doświadczone ugrupowanie przestępcze, najprawdopodobniej posługujące się językiem rosyjskim.
– Ugrupowanie to wykorzystuje praktycznie każdą dostępną metodę w celu propagacji trojana bankowego Acecard. Szkodnik może być rozprzestrzeniany pod przykrywką innego programu, za pośrednictwem oficjalnych sklepów z aplikacjami lub przy użyciu innych trojanów. Cechą wyróżniającą jest możliwość nakładania się na ponad 30 systemów bankowych i płatniczych, jak również portali społecznościowych, komunikatorów internetowych i innych aplikacji. Połącznie możliwości Acecarda i jego metod infekowania czyni z tego trojana bankowego jedno z najgroźniejszych obecnie zagrożeń mobilnych – ostrzega Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
W celu uniknięcia infekcji Kaspersky Lab zaleca następujące postępowanie:
- Nie pobieraj ani nie instaluj żadnych aplikacji spoza oficjalnych źródeł, a w przypadku sklepu Google Play instaluj tylko te programy, które mogą być traktowane jako zaufane (warto posiłkować się opiniami innych użytkowników).
- Unikaj odwiedzania podejrzanych stron internetowych i klikania odnośników w wiadomościach.
- Zainstaluj niezawodne rozwiązanie bezpieczeństwa na urządzeniach mobilnych, na przykład Kaspersky Internet Security for Android.
- Upewnij się, że antywirusowe bazy danych wykorzystywane przez aplikację bezpieczeństwa są aktualne i działają poprawnie.