Kaspersky: „Utilizatorii de aplicatii bancare si de plata din sistemul Android sunt in pericol”

Echipa de cercetare anti-malware Kaspersky Lab a descoperit unul dintre cei mai periculosi troieni bancari pentru dispozitive cu Android. Programul malware Acecard este capabil sa atace utilizatorii unui numar de aproximativ 50 de aplicatii financiare si de servicii si sa evite masurile de securitate Google Play.

„In T3 2015, expertii Kaspersky Lab au detectat o crestere neobisnuita a numarului de atacuri pe mobile banking din Australia. Parea ceva suspect si foarte curand s-a descoperit ca motivul principal pentru aceasta crestere era un troian bancar: Acecard.”, potrivit comunicatului de presa.

Familia de troieni Acecard foloseste aproape toate functionalitatile unui program malware, disponibile in prezent – de la furtul mesajelor text si voce ale bancii, la suprapunerea unor ferestre false peste aplicatiile oficiale, pentru a simula pagina de login a acestora, in incercarea de furt de informatii personale si despre cont.

Cea mai recenta versiune a familiei Acecard poate sa atace aplicatiile pentru clienti de la aproximativ 30 de banci si sisteme de plata. Avand in vedere ca acesti troieni sunt capabili sa se substituie oricarei aplicatii la comanda, numarul total de aplicatii financiare atacate poate fi mult mai mare.

In afara de aplicatii bancare, Acecard poate interveni peste urmatoarele aplicatii, cu ferestre de phishing:
• Servicii de mesagerie: WhatsApp, Viber, Instagram, Skype;
• Retele de socializare: Facebook, Twitter, VKontakte, Odnoklassniki;
• Conturi de Gmail;
• Aplicatia PayPal pentru mobil;
• Aplicatiile Google Play si Google Music

Programul malware a fost detectat initial in februarie 2014, dar pentru o lunga perioada nu a dat aproape niciun semn ca ar fi activ. Lucrurile s-au schimbat in 2015, cand cercetatorii Kaspersky Lab au descoperit o revenire a atacurilor: intre mai si decembrie 2015, peste 6.000 de utilizatori au fost atacati cu acest troian. Cei mai multi sunt din Rusia, Australia, Germania, Austria si Franta.

In timpul celor doi ani in care l-au tinut sub observatie, cercetatorii Kaspersky Lab au fost martorii dezvoltarii sale. Acestia au inregistrat peste 10 versiuni noi de malware, fiecare cu o lista mai lunga si mai daunatoare de functionalitati.

Dispozitivele mobile erau, de regula, infectate dupa ce utilizatorii descarcau o aplicatie malware deghizata in cea legitima. Versiunile de Acecard sunt distribuite in mod tipic ca Flash Player sau PornoVideo, desi sunt folosite si alte nume, in incercarea de a imita programe utile sau populare.

Programul malware mai este distribuit si in alte moduri. Pe 28 decembrie 2015, expertii Kaspersky Lab au detectat o versiune a troianului Acecard in magazinul oficial Google Play. Troianul se raspandeste sub forma unui joc. Cand programul malware este instalat din Google Play, utilizatorul va vedea doar un icon de Adobe Flash Player pe desktop si niciun un alt semn al aplicatiei instalate.

Dupa ce au observat atent codul malware, expertii Kaspersky Lab tind sa creada ca Acecard a fost creat de acelasi grup de infractori cibernetici responsabil de aparitia primului troian TOR pentru Android si a primului program malware care cripteaza fisiere/ ransomware pentru dispozitive mobile. Dovezile se bazeaza pe liniile de cod asemanatoare si folosirea acelorasi servere de comanda si control (C&C). Acestea arata ca Acecard a fost creat de o grupare puternica si cu experienta de infractori, cel mai probabil vorbitori de limba rusa.

“Acest grup de infractori cibernetici foloseste toate metodele disponibile in prezent pentru a raspandi troianul Acecard. Acesta poate fi distribuit sub forma unui alt program, prin intermediul magazinelor oficiale de aplicatii sau prin intermediul altor troieni. O trasatura distinctiva este capacitatea de a se substitui unui numar de peste 30 de sisteme bancare si de plata, precum si unor aplicatii de social media sau de mesagerie. Capacitatile distructive ale Acecard si metodele de propagare fac din acest troian bancar pentru dispozitive mobile una dintre cele mai periculoase amenintari actuale pentru utilizatori”, avertizeaza Roman Unuchek, Senior Malware Analyst la Kaspersky Lab SUA.

Pentru a preveni contactarea acestui virus, Kaspersky Lab recomanda utilizatorilor:
– Sa nu descarce sau/si sa instaleze orice aplicatie din Google Play sau din surse interne daca exista suspiciuni asupra ei;
– Sa nu viziteze pagini suspecte si sa nu dea click pe link-uri suspecte;
– Sa instaleze o solutie de securitate de incredere pe dispozitivele mobile;
– Sa se asigure ca bazele de date ale antivirusului sunt la zi si functioneaza corespunzator.