מעבדת קספרסקי חושפת את Acecard: טרויאני המסכן משתמשי למעלה מ-30 אפליקציות אנדרואיד בנקאיות ואפליקציות תשלומים

צוות מחקר הקוד הזדוני של מעבדת קספרסקי זיהה אחד מהטרויאנים המסוכנים ביותר לבנקאות ניידת באנדרואיד. הקוד הזדוני Acecard מסוגל לתקוף משתמשים על גבי יותר מ-30 אפליקציות ושירותים פיננסים שונים והוא מסוגל לעקוף את אמצעי האבטחה של חנות Google Play.

במהלך הרבעון השלישי של 2015, מומחי מעבדת קספרסקי זיהו גידול חריג במספר ההתקפות על בנקאות ניידת באוסטרליה. הדבר נראה חשוד ומהר מאוד התגלה שהסיבה המרכזית לגידול היא הטרויאני לבנקאות Acecard.
משפחת הטרויאני Acecard משתמשת בכמעט כל יכולות הקוד הזדוני הזמינות כיום – החל מגניבת הודעות טקסט וקול של הבנק, ועד לכיסוי חלונות של האפליקציה הרשמית עם הודעות מזויפות אשר מחקות את דף הכניסה הרשמי, ומנסות לגנוב מידע אישי ופרטי חשבונות. הגרסאות העדכניות ביותר של משפחת Acecard יכולות לתקוף את אפליקציות הקצה של כ-30 בנקים ומערכות תשלומים. בהתחשב בכך שטרויאנים אלה מסוגלים לכסות כל אפליקציה על פי פקודה, סך האפליקציות הפיננסיות שבסיכון יכול להיות גבוה בהרבה.
מעבר לאפליקציות בנקאות, Acecard יכול לכסות על האפליקציות הבאות:
– שירותי מסרים מידיים: WhatsApp, Viber , אינסטגרם, סקייפ
– רשתות חברתיות: VKontakte, Odnoklassniki, פייסבוק וטוויטר
– Gmail
– אפליקצית תשלומים של PayPal
– אפליקציות Google Play ו- Google Music
הקוד הזדוני זוהה לראשונה בפברואר 2014, אבל במהלך תקופה ארוכה כמעט ולא הראה סימנים של פעילות זדונית. הכל השתנה ב-2015, כאשר חוקרי מעבדת קספרסקי זיהו זינוק בהתקפות: בתקופה שבין מאי לדצמבר 2015, יותר מ-6,000 משתמשים הותקפו על ידי טרויאני זה. רובם שהו ברוסיה, אוסטרליה, גרמניה, אוסטריה וצרפת.
במהלך שנתיים של תצפית, חוקרי מעבדת קספרסקי היו עדים להתפתחות פעילה בטרויאני. נרשמו יותר מ- 10 גרסאות חדשות של הקוד הזדוני, שכל אחד מהם מציג רשימה ארוכה יותר של יכולות זדוניות מאשר הקודם.
Google Play תחת מתקפה
מכשירים ניידים נדבקים בדרך כלל לאחר הורדה של אפליקציה זדונית המתחזה לאפליקציה לגיטימית. גרסאות Acecard מופצות בדרך כלל כנגן פלאש או PornoVideo, למרות ששמות אחרים משמשים לעיתים כדי להתחזות לתוכנות שימושיות ופופולאריות אחרות.

אבל זוהי לא הדרך היחידה בה הקוד הזדוני מופץ. ב- 28 בדצמבר 2015, מומחי מעבדת קספרסקי הצליחו לאתר גרסה של Acecard – Downloader.AndroidOS.Acecard.b – בחנות Google Play הרשמית. הטרויאני מופץ בתחפושת של משחק. כאשר הקוד הזדוני מותקן מ- Google Play, המשתמש ייראה רק סמל של Adobe Flash Player על מסך שולחן העבודה ואף סימן ממשי לאפליקציה המותקנת.
מי עומד מאחורי ה- Acecard?
במבט מקרוב בקוד הזדוני, מומחי מעבדת קספרסקי נוטים לחשוב כי Acecard נוצר על ידי אותה קבוצה של עברייני סייבר שהייתה אחראית לטרויאני ה- TOR הראשון Backdoor.AndroidOS.Torec.a וכלי הכופר הראשון לניידים Trojan-Ransom.AndroidOS.Pletor.a.
העדות לכך מתבססת על שורות קוד דומות (שמות של שיטות ומחלקות) ושימוש באותם שרתי פיקוד ושליטה. הדבר מוכיח כי Acecard נעשה על ידי קבוצת עבריינים עוצמתית ומנוסה, וכנראה דוברת רוסית.
"קבוצת עברייני הסייבר משתמשת למעשה בכל שיטה קיימת כדי להפיץ את הטרויאני לבנקאות Acecard. הוא יכול להיות מופץ במסווה של תוכנה אחרת, דרך חנויות אפליקציות רשמיות או דרך טרויאנים אחרים. מאפיין ייחודי של הקוד הזדוני הוא היכולת שלו לכסות על יותר מ- 30 מערכות בנקאות ותשלומים וכן אפליקציות של רשתות חברתיות, הודעות ועוד. השילוב בין יכולות Acecard ושיטות ההפצה הופכות את הטרויאני לבנקאות ניידת לאחד מהאיומים המסוכנים ביותר כיום למשתמשים", מתריע רומן אונצ'ק, אנליסט קוד זדוני בכיר במעבדת קספרסקי, USA.
במטרה למנוע הדבקה מעבדת קספרסקי ממליצה על הפעולות הבאות:
– אל תורידו או תתקינו אף אפליקציה מ- Google Play או ממקורות אחרים אם הם בלתי אמינים או שניתן להתייחס אליהם ככאלה
– אל תבקרו בעמודי רשת חשודים או בתוכן מסוים ואל תלחצו על קישורים חשודים
– התקינו פתרון אבטחה אמין למכשירים ניידים, כגון Kaspersky Internet Security for Android
– ודאו כי בסיס הנתונים של האנטי וירוס מעודכן ופועל כראוי

דילוג לתוכן