נחשף  Acecard: טרויאני המסכן משתמשי 30 אפליקציות אנדרואיד בנקאיות ואפליקציות תשלומים
מאת: מערכת Telecom News, 22.2.16, 19:58

זוהה אחד מהטרויאנים המסוכנים ביותר לבנקאות ניידת באנדרואיד. הקוד הזדוני Acecard מסוגל לתקוף משתמשים על גבי יותר מ-30 אפליקציות ושירותים פיננסים ומסוגל לעקוף את אמצעי האבטחה של Google Play ולפגוע גם באפליקציות של רשתות חברתיות והודעות. מי עומד מאחורי ה-Acecard?

במהלך הרבעון השלישי של 2015, זיהו מומחי מעבדת קספרסקי גידול חריג במספר ההתקפות על בנקאות ניידת באוסטרליה. הדבר נראה חשוד ומהר מאוד התגלה, שהסיבה המרכזית לגידול היא הטרויאני לבנקאות Acecard.

משפחת הטרויאני Acecard משתמשת בכמעט כל יכולות הקוד הזדוני הזמינות כיום,  החל מגניבת הודעות טקסט וקול של הבנק ועד לכיסוי חלונות של האפליקציה הרשמית עם הודעות מזויפות, שמחקות את דף הכניסה הרשמי ומנסות לגנוב מידע אישי ופרטי חשבונות. הגרסאות העדכניות ביותר של משפחת Acecard יכולות לתקוף את אפליקציות הקצה של כ-30 בנקים ומערכות תשלומים. בהתחשב בכך, שטרויאנים אלה מסוגלים לכסות כל אפליקציה עפ"י פקודה, סך האפליקציות הפיננסיות שבסיכון יכול להיות גבוה בהרבה.

מעבר לאפליקציות בנקאות, Acecard יכול לכסות על האפליקציות הבאות:

• שירותי מסרים מידיים: WhatsApp,Viber , אינסטגרם, סקייפ,
• רשתות חברתיות: VKontakte, Odnoklassniki, פייסבוק וטוויטר,
• ,Gmail
• אפליקצית תשלומים של ,PayPal
• אפליקציות Google Play ו-.Google Music

הקוד הזדוני זוהה לראשונה בפברואר 2014, אבל במהלך תקופה ארוכה כמעט ולא הראה סימנים של פעילות זדונית. הכל השתנה ב-2015, כאשר חוקרי מעבדת קספרסקי זיהו זינוק בהתקפות: בתקופה שבין מאי לדצמבר 2015, יותר מ-6,000 משתמשים הותקפו ע"י טרויאני זה. רובם שהו ברוסיה, אוסטרליה, גרמניה, אוסטריה וצרפת.

במהלך שנתיים של תצפית, חוקרי מעבדת קספרסקי היו עדים להתפתחות פעילה בטרויאני. נרשמו יותר מ-10 גרסאות חדשות של הקוד הזדוני, שכל אחד מהם מציג רשימה ארוכה יותר של יכולות זדוניות מאשר הקודם.

Google Play תחת מתקפה
מכשירים ניידים נדבקים בדרך כלל לאחר הורדה של אפליקציה זדונית המתחזה לאפליקציה לגיטימית. גרסאות Acecard מופצות בדרך כלל כנגן פלאש או PornoVideo, למרות ששמות אחרים משמשים לעיתים כדי להתחזות לתוכנות שימושיות ופופולאריות אחרות.
 
אבל זו לא הדרך היחידה בה הקוד הזדוני מופץ. ב- 28.12.15, מומחי מעבדת קספרסקי הצליחו לאתר גרסה של Acecard - Downloader.AndroidOS.Acecard.b – בחנות Google Play הרשמית. הטרויאני מופץ בתחפושת של משחק. כאשר הקוד הזדוני מותקן מ-Google Play, המשתמש ייראה רק סמל של Adobe Flash Player על מסך שולחן העבודה ואף סימן ממשי לאפליקציה המותקנת.

מי עומד מאחורי ה- Acecard?
במבט מקרוב בקוד הזדוני, נוטים מומחי החברה לחשוב,  ש-Acecard נוצר ע"י אותה קבוצה של עברייני סייבר, שהייתה אחראית לטרויאני ה- TOR הראשון Backdoor.AndroidOS.Torec.a וכלי הכופר הראשון לניידים Trojan-Ransom.AndroidOS.Pletor.a.
העדות לכך מתבססת על שורות קוד דומות (שמות של שיטות ומחלקות) ושימוש באותם שרתי פיקוד ושליטה. הדבר מוכיח, ש-Acecard נעשה ע"י קבוצת עבריינים עוצמתית ומנוסה, וכנראה דוברת רוסית.

במטרה למנוע הדבקה מומלץ על הפעולות הבאות:

• אל תורידו או תתקינו אף אפליקציה מ-Google Play או ממקורות אחרים אם הם בלתי אמינים או שניתן להתייחס  אליהם ככאלה,
• אל תבקרו בעמודי רשת חשודים או בתוכן מסוים ואל תלחצו על קישורים חשודים,
• התקינו פתרון אבטחה אמין למכשירים ניידים,
• ודאו, שבסיס הנתונים של האנטי וירוס מעודכן ופועל כראוי.

 
רומן אונצ'ק, אנליסט קוד זדוני בכיר במעבדת קספרסקי, ארה"ב: "קבוצת עברייני הסייבר משתמשת בכל שיטה קיימת כדי להפיץ את הטרויאני לבנקאות Acecard. הוא יכול להיות מופץ במסווה של תוכנה אחרת, דרך חנויות אפליקציות רשמיות או דרך טרויאנים אחרים. מאפיין ייחודי של הקוד הזדוני הוא היכולת שלו לכסות על יותר מ-30 מערכות בנקאות ותשלומים וכן אפליקציות של רשתות חברתיות, הודעות ועוד. השילוב בין יכולות Acecard ושיטות ההפצה הופכות את הטרויאני לבנקאות ניידת לאחד מהאיומים המסוכנים ביותר כיום למשתמשים".

הדו"ח המלא באנגלית - כאן.