Android-gebruikers: pas op voor de Acecard-trojan!

Android-gebruikers: pas op voor de Acecard-trojan!

Vorig artikel Volgend artikel

Het Anti-Malware Research Team van Kaspersky Lab heeft een van de gevaarlijkste Android-bankierentrojans ooit gedetecteerd. De Acecard-malware is in staat om gebruikers van bijna 50 verschillende online financiële applicaties en diensten aan te vallen en kan de beveiligingsmaatregelen van de Google Play Store omzeilen.

Tijdens het derde kwartaal van 2015 ontdekte Kaspersky Lab een ongewone toename van het aantal mobiele bankieraanvallen in Australië. Dit zag er verdacht uit en al snel werd ontdekt dat de belangrijkste reden voor deze stijging toe te schrijven was aan een enkele bankierentrojan: Acecard.

Trojan

De Acecard-trojanfamilie maakt gebruik van vrijwel alle momenteel beschikbare malwarefunctionaliteiten - van de diefstal van tekst- en spraakberichten van banken, tot overlays op officiële app-vensters met valse berichten die de officiële inlogpagina simuleren in een poging om persoonlijke informatie en accountgegevens te stelen. De meest recente versies van de Acecard-familie kunnen de client-toepassingen van zo'n 30 verschillende bank- en betaalsystemen aanvallen. Aangezien deze trojans op commando een overlay kunnen plaatsen op een applicatie, kan het totale aantal aangevallen financiële toepassingen ook nog eens veel hoger zijn.

Behalve bij bankierapps kan Acecard bij de volgende toepassingen een overlay met phishing-vensters plaatsen:

  • Chatdiensten: WhatsApp, Viber, Instagram, Skype;
  • Sociale netwerken: Facebook, Twitter, VKontakte, Odnoklassniki;
  • De Gmail-client;
  • De PayPal mobiele app;
  • Google Play en Google Music-toepassingen.

2014

De malware werd voor het eerst ontdekt in februari 2014, maar vertoonde geruime tijd vrijwel geen tekenen van kwaadaardige activiteiten. Dit alles veranderde in 2015, toen onderzoekers een piek ontdekten in het aantal aanvallen: in de periode mei-december 2015 werden meer dan 6.000 gebruikers aangevallen door deze trojan. De meesten van hen waren woonachtig in Rusland, Australië, Duitsland, Oostenrijk en Frankrijk. Gedurende de twee jaar van observatie waren Kaspersky Lab-onderzoekers getuige van de actieve ontwikkeling van de trojan. Ze registreerden meer dan 10 nieuwe versies van de malware, elk met een veel langere lijst van kwaadaardige functies dan de vorige.

1779_Infographics_Acecard_Map

Google Play ligt onder vuur

Mobiele apparaten werden meestal besmet na het downloaden van een kwaadaardige toepassing die zich voordeed als een legitieme. Acecard-versies worden meestal verspreid als Flash Player of PornoVideo, hoewel soms ook andere namen worden gebruikt in een poging om zich voor te doen als nuttige en populaire software.

Dit is echter niet de enige manier waarop deze malware wordt verspreid. Op 28 december 2015 troffen deskundigen van Kaspersky Lab een versie van de Acecard-downloader trojan aan in de officiële Google Play Store (Trojan-Downloader.AndroidOS.Acecard.b). Deze trojan verspreidt zich onder het mom van een spel. Als de malware wordt geïnstalleerd via Google Play, zal de gebruiker enkel een Adobe Flash Player-pictogram op het bureaublad zien en geen echt symbool van de geïnstalleerde toepassing.

Wie zit erachter?

Na bestudering van de malwarecode zijn deskundigen geneigd te denken dat Acecard werd gemaakt door dezelfde groep cybercriminelen die verantwoordelijk was voor de eerste TOR trojan voor Android (Backdoor.AndroidOS.Torec.a) en de eerste mobiele encryptor/ransomware (Trojan-Ransom.AndroidOS.Pletor.a).

Het bewijs hiervoor is gebaseerd op vergelijkbare coderegels (namen van methoden en classes) en het gebruik van dezelfde C&C (Command and Control) servers. Dit bewijst dat Acecard werd gemaakt door een krachtige, ervaren groep van waarschijnlijk Russischtalige criminelen.

Deze groep cybercriminelen gebruikt vrijwel elke beschikbare methode om de bankierentrojan Acecard te verspreiden. Het kan worden gedistribueerd onder het mom van een ander programma, via de officiële app stores of via andere trojans. Een onderscheidend kenmerk van deze malware is dat het in staat is om een overlay te plaatsen op meer dan 30 bank- en betalingssystemen, maar ook op sociale media, chat- en andere apps. De combinatie van mogelijkheden en vermeerderingsmethoden van Acecard maken deze mobiele bankierentrojan een van de gevaarlijkste bedreigingen voor gebruikers van dit moment.
- Roman Unuchek, Senior Malware Analyst bij Kaspersky Lab USA.

Voorkomen

Om besmetting te voorkomen, adviseert Kaspersky Lab:

  • Download en/of installeer geen toepassingen van Google Play of uit interne bronnen als deze niet vertrouwd zijn of als zodanig kunnen worden behandeld;
  • Bezoek geen verdachte webpagina's met specifieke inhoud en klik niet op verdachte links;
  • Installeer een betrouwbare beveiligingsoplossing op mobiele apparaten;
  • Zorg ervoor dat antivirus databases up-to-date zijn en goed functioneren.
Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies