Tím odborníkov na odhaľovanie škodlivého softvéru spoločnosti Kaspersky Lab zachytil jeden z najnebezpečnejších malvérov doposiaľ – trójskeho koňa ohrozujúceho Android aplikácie zamerané na mobilné bankovníctvo a online platby. Vírus známy ako Acecard je schopný napadnúť používateľov viac ako 30 rozličných finančných aplikácií a dokáže dokonca obísť bezpečnostné opatrenia obchodu s aplikáciami Google Play.
V treťom štvrťroku 2015 experti Kaspersky Lab zaznamenali nezvyčajný nárast v útokoch na mobilné bankovníctvo v Austrálii. Takýto jav bol veľmi podozrivý a čoskoro sa prišlo na to, že za týmto enormným nárastom útokov stojí vírus typu trójskeho koňa: Acecard.
Trojan Acecard využíva takmer všetky v súčasnosti dostupné funkcionality malvéru – od kradnutia a zneužívania bankových textových a hlasových správ až po prekrývanie oficiálnych aplikačných okien falošnými správami, ktoré simulujú vzhľad pravej prihlasovacej stránky. Cieľom je získať osobné a prihlasovacie údaje k bankovému účtu. Najnovšie verzie vírusu Acecard dokážu napadnúť klientske aplikácie už viac ako 30 bankingových a platobných systémov. Vzhľadom na to, že tieto Trojany sú veľmi flexibilné a schopné rýchlo reagovať (takmer na povel) prekrytím pôvodnej aplikácie, celkový počet napadnutých finančných aplikácií môže byť oveľa vyšší.
Na pozore by sa však mali mať aj používatelia ostatných aplikácií. Acecard totiž dokáže napadnúť a maskovať phishingovými oknami popri bankingových a platobných službách aj tieto aplikácie:
- chatovacie služby: WhatsApp, Viber, Instagram, Skype;
- sociálne siete: VKontakte, Odnoklassniki, Facebook, Twitter;
- gmail;
- mobilnú aplikáciu PayPal;
- aplikácie Google Play a Google Music.
Napriek tomu, že malvér Acecard bol prvýkrát zaznamenaný vo februári 2014, dlhý čas nepreukazoval žiadne známky škodlivej aktivity. Všetko sa však zmenilo v roku 2015, keď experti Kaspersky Lab zaregistrovali významný nárast útokov. V období od mája do decembra 2015 bolo týmto trójskym koňom napadnutých viac ako 6000 používateľov na celom svete. Najviac obetí pochádzalo z Ruska, Austrálie, Nemecka, Rakúska a Francúzska.
Mapa používateľov napadnutých vírusom Acecard
Počas dvojročného pozorovania sledovali experti spoločnosti Kaspersky Lab postupný vývoj vírusu. Odhalili viac ako 10 verzií tohto malvéru, pričom s každou novou verziou narastal aj zoznam škodlivých funkcionalít.
Vírus napádal zvyčajne mobilné zariadenia, a to okamžite po stiahnutí škodlivej aplikácie, ktorá sa tvárila ako pravá. Acecard verzie sa väčšinou šíria ako Flash Player alebo PornoVideo, hoci v snahe napodobniť populárny softvér často vystupujú aj pod iným názvom.
Toto však nie je jediný spôsob, akým sa malvér šíri. Experti Kaspersky Lab objavili 28. decembra 2015 Trojana Acecard, ktorý sa šíril ako Trojan-Downloader.AndroidOS.Acecard.b v oficiálnom obchode Google Play. Tento Trojan sa prezentuje ako hra. V momente, ako dôjde k stiahnutiu škodlivého softvéru z Google Play, sa používateľovi na úvodnej obrazovke zobrazí namiesto loga stiahnutej aplikácie len ikona Adobe Flash Player.
Po bližšom preskúmaní malvérového kódu, sa experti Kaspersky Lab domnievajú, že Acecard bol vytvorený rovnakou skupinou kyberzločincov, ktorá stojí aj za prvým TOR Trojanom zameraným rovnako na Adroidy – Backdoor.AndroidOS.Torec.a., ako aj prvým mobilným ransomvérom Trojan-Ransom.AndroidOS.Pletor.a. Dokazuje to najmä podobný spôsob kódovania a rovnaký spôsob používania C&C serverov. Podľa všetkého bol Acecard vytvorený silnou a skúsenou skupinou zločincov, ktorí s najväčšou pravdepodobnosťou hovoria po rusky.
“Táto zločinecká skupina operujúca v kybernetickom priestore používa doslova každý možný spôsob na šírenie bankingového trójskeho koňa Acecard. Môže sa šíriť ako zdanlivo iný program cez oficiálne obchody s aplikáciami či prostredníctvom iného Trojana. Typickou črtou tohto malvéru je to, že dokáže simulovať viac ako 30 bankingových a platobných systémov, rovnako ako sociálne médiá, chatovacie služby či rôzne iné aplikácie. Kombinácia schopností vírusu Acecard v spojení s rafinovanými spôsobmi jeho šírenia robia z tohto malvéru jednu z najnebezpečnejších hrozieb pre aplikácie mobilného bankovníctva v súčasnosti,” upozornil Roman Unuchek, senior analytik v oblasti malvérov, Kaspersky Lab USA.
Odporúčania expertov spoločnosti Kaspersky Lab ako predísť napadnutiu Trojana Acecard:
- Nesťahovať a neinštalovať žiadnu aplikáciu z Google Play či interných zdrojov, ktorá sa javí ako nedôveryhodná alebo vykazuje akékoľvek znaky škodlivosti;
- Nenavštevujte pochybné webové stránky a neklikajte na podozrivé linky;
- Nainštalujte si na svoje mobilné zariadenie spoľahlivý antivírusový program, ako napríklad Kaspersky Internet Security pre Android;
- Uistite sa, že vaše antivírusové zabezpečenie je aktualizované a funguje správne.
Viac informácií o Trojanovi Acecard nájdete aj v blogu na stránke Securelist.com.