2015 harmadik negyedévében a Kaspersky Lab szakértői az ausztrál mobil banki támadások számának szokatlan növekedését észlelték. Ez gyanúsnak tűnt a számukra, és nagyon hamar felfedezték, hogy a növekedés oka egy banki trójai volt: az Acecard.
Multifunkcionális
Az Acecard trójai család szinte az összes olyan malware funkciót használja, amely jelenleg ismert – kezdve a bankok szöveges és hangüzeneteinek az ellopásától a hivatalos alkalmazásablakok lefedéséig olyan hamis üzenetekkel, amelyek utánozzák a hivatalos bejelentkezési oldalt, így próbálva meg ellopni személyes információkat és számla adatokat. Az Acecard család legújabb változata képes megtámadni mintegy 30 banki és fizetési rendszer ügyfél alkalmazását. Tekintettel arra, hogy ezek a trójaiak képesek bármilyen alkalmazás ablakát utánozni, a pénzügyi támadást elszenvedett alkalmazások száma még ennél is sokkal nagyobb lehet.
A banki alkalmazások mellett az Acecard képes lefedni az alábbi alkalmazásokat is adathalász ablakokkal:
- IM szolgáltatások: WhatsApp, Viber, Instagram, Skype;
- Közösségi hálózatok: VKontakte, Odnoklassniki, Facebook, Twitter;
- Gmail kliens; PayPal mobilalkalmazás;
- Google Play és Google Music alkalmazások.
A malware-t először 2014 februárjában észlelték, de hosszú ideig nem mutatta szinte semmi jelét rosszindulatú tevékenységnek. 2015-ben minden megváltozott, amikor a Kaspersky Lab kutatói a támadások számának növekedését észlelték: a 2015 májusától decemberéig tartó időszakban több mint 6000 felhasználót támadott meg ez a trójai. A legtöbbjük Oroszországban, Ausztráliában, Németországban, Ausztriában és Franciaországban lakott.
 |
Sok verziója van
A két évig tartó megfigyelés során a Kaspersky Lab kutatói szemtanúi voltak a trójai aktív fejlődésének. Több mint 10 új verziót azonosítottak, mindegyik sokkal hosszabb listával rendelkezett a rosszindulatú funkciók terén, mint az előző. A mobileszközöket általában azután érte a fertőzés, hogy letöltöttek egy eredetinek álcázott rosszindulatú alkalmazást. Az Acecard verzióit többnyire Flash Player-ként vagy PornoVideo-ként terjesztik, bár néha más népszerű szoftver nevét is használják. De ez nem az egyetlen módja a malware terjesztésének. 2015 december 28-án a Kaspersky Lab szakértői a hivatalos Google Play Áruházban fedezték fel az Acecard trójai egyik verzióját – Trojan-Downloader.AndroidOS.Acecard.b –, amelyet egy játéknak álcáztak.
Amikor egy felhasználó telepíti a trójait a Google Play Áruházból, csak az Adobe Flash Player ikonját látja a képernyőn, a telepített alkalmazásra nem utal semmi. Miután alaposan megvizsgálták a malware kódot, a Kaspersky Lab szakértői arra jutottak, hogy az Acecard trójait ugyanaz a bűnözőcsoport alkotta, amelyik az első androidos TOR trójait – Backdoor.AndroidOS.Torec.a –, valamint az első mobil titkosító és zsaroló programot – Trojan-Ransom.AndroidOS.Pletor.a – készítette. Ezt a megállapítást az azonos kódsorok és ugyanazoknak a C&C (parancs és vezérlő) szervereknek a használata támasztja alá. Vagyis az Acecard trójait egy erős és tapasztalt bűnözői csoport készítette, amelynek a tagjai valószínűleg orosz anyanyelvűek.
Annak érdekében, hogy a megóvja magát a fertőzéstől, a Kaspersky Lab az alábbiakat ajánlja:
- Ne töltsön le és/vagy telepítsen olyan alkalmazásokat a Google Play Áruházból vagy belső forrásokból, amelyek nem tűnnek megbízhatónak.
- Ne nyisson meg gyanús weboldalakat, és ne kattintson gyanús hivatkozásokra.
- Telepítsen megbízható biztonsági megoldást a mobileszközére, például a Kaspersky Internet Security for Androidot.
- Győződjön meg arról, hogy víruskeresőjének az adatbázisa naprakész, és a program megfelelően működik. Ha szeretne többet megtudni az Acecard trójairól, kérjük, olvassa el a Securelist.com oldalon lévő blogbejegyzést.
Kövesd az oldalunkat a Facebook-on és a Twitteren is!
