Acecard, un nou troian fură datele bancare stocate pe telefoanele cu sistem Android

Descoperit de experţii Kaspersky Lab, Acecard este unul dintre cei mai periculoşi troieni bancari pentru dispozitive cu Android, capabil să atace utilizatorii unui număr de aproximativ 50 de aplicaţii financiare şi de servicii şi să evite măsurile de securitate Google Play.

Primele indicii anunţând noul pericol au apărut sper finalul anului trecut, când experţii Kaspersky Lab au detectat o creştere neobişnuită a numărului de atacuri pe mobile banking din Australia. Părea ceva suspect şi foarte curând s-a descoperit că motivul principal pentru această creştere era un troian bancar: Acecard.

Familia de troieni Acecard foloseşte aproape toate funcţionalităţile unui program malware, disponibile în prezent – de la furtul mesajelor text şi voce ale băncii, la suprapunerea unor ferestre false peste aplicaţiile oficiale, pentru a simula pagina de login a acestora, în încercarea de furt de informaţii personale şi despre cont. Cea mai recentă versiune a familiei Acecard poate să atace aplicaţiile pentru clienţi de la aproximativ 30 de bănci şi sisteme de plată. Având în vedere că aceşti troieni sunt capabili să se substituie oricărei aplicaţii la comandă, numărul total de aplicaţii financiare atacate poate fi mult mai mare.

În afară de aplicaţii bancare, Acecard poate interveni peste următoarele aplicaţii, cu ferestre de phishing:

• Servicii de mesagerie: WhatsApp, Viber, Instagram, Skype;
• Reţele de socializare: Facebook, Twitter, VKontakte, Odnoklassniki;
• Conturi de Gmail;
• Aplicaţia PayPal pentru mobil;
• Aplicaţiile Google Play şi Google Music

Programul malware a fost detectat iniţial în februarie 2014, dar pentru o lungă perioadă nu a dat aproape niciun semn că ar fi activ. Lucrurile s-au schimbat în 2015, când cercetătorii Kaspersky Lab au descoperit o revenire a atacurilor: între mai şi decembrie 2015, peste 6.000 de utilizatori au fost atacaţi cu acest troian. Cei mai mulţi sunt din Rusia, Australia, Germania, Austria şi Franţa.

În timpul celor doi ani în care l-au ţinut sub observaţie, cercetătorii Kaspersky Lab au fost martorii dezvoltării sale. Aceştia au înregistrat peste 10 versiuni noi de malware, fiecare cu o listă mai lungă şi mai dăunătoare de funcţionalităţi.

Dispozitivele mobile erau, de regulă, infectate după ce utilizatorii descărcau o aplicaţie malware deghizată în cea legitimă. Versiunile de Acecard sunt distribuite în mod tipic ca Flash Player sau PornoVideo, deşi sunt folosite şi alte nume, în încercarea de a imita programe utile sau populare.

Programul malware mai este distribuit şi în alte moduri. Pe 28 decembrie 2015, experţii Kaspersky Lab au detectat o versiune a troianului Acecard în magazinul oficial Google Play. Troianul se răspândeşte sub forma unui joc. Când programul malware este instalat din Google Play, utilizatorul va vedea doar un icon de Adobe Flash Player pe desktop şi niciun un alt semn al aplicaţiei instalate. După ce au observat atent codul malware, experţii Kaspersky Lab tind să creadă că Acecard a fost creat de acelaşi grup de infractori cibernetici responsabil de apariţia primului troian TOR pentru Android şi a primului program malware care criptează fişiere/ ransomware pentru dispozitive mobile.

Pentru a preveni contactarea acestui virus, Kaspersky Lab recomandă utilizatorilor:

• Să nu descarce sau/şi să instaleze orice aplicaţie din Google Play sau din surse interne dacă există suspiciuni asupra ei;
• Să nu viziteze pagini suspecte şi sa nu dea click pe link-uri suspecte;
• Să instaleze o soluţie de securitate de încredere pe dispozitivele mobile, cum este Kaspersky Internet Security for Android; 
• Să se asigure că bazele de date ale antivirusului sunt la zi şi funcţionează corespunzător.