Kaspersky Lab Pretļaunprogrammatūru pētniecības grupa ir konstatējusi vienu no bīstamākajiem līdz šim sastaptajiem Android banku Trojas zirgiem. Ļaunprogrammatūra Acecard spēj uzbrukt gandrīz 50 tiešsaistes finanšu pakalpojumiem un lietotnēm, kā arī prot apiet veikala Google Play drošības līdzekļus.

2015. gada trešajā ceturksnī Kaspersky Lab speciālisti novēroja neparastu uzbrukumu skaita pieaugumu mobilajām bankām Austrālijā. Tas izskatījās aizdomīgi, un ļoti drīz tika atklāts, ka šī pieauguma galvenais iemesls bija viens vienīgs banku Trojas zirgs Acecard.

Infographics_Acecard_Map_ENG

Trojas zirgu Acecard ģimene aptver gandrīz visas pašlaik pieejamās ļaunprogrammatūru funkcijas, sākot no bankas teksta un balss ziņojumu zagšanas līdz oficiālās lietotnes logu pārklāšanai ar viltotiem paziņojumiem, kas atdarina oficiālo pieteikšanās lapu, lai censtos nozagt personisko un konta informāciju. Acecard ģimenes jaunākās versijas var uzbrukt aptuveni 30 banku un maksājumu sistēmu klientu lietotnēm. Ņemot vērā to, ka šie Trojas zirgi pēc komandas spēj pārklāt jebkuru lietotni, uzbrukumiem pakļauto finanšu programmu kopskaits var būt daudz lielāks.

Līdztekus banku lietotnēm Acecard spēj pārklāt ar pikšķerēšanas logiem šīs programmas:

  • tūlītējas ziņapmaiņas pakalpojumus WhatsApp, Viber, Instagram un Skype;

  • sociālos tīklus VKontakte, Odnoklassniki, Facebook un Twitter;

  • Gmail klientu;

  • PayPal mobilo lietotni;

  • Google Play un Google Music lietotnes.

Šī ļaunprogrammatūra pirmo reizi ir pamanīta 2014. gada februārī, bet ilgu laiku netika novērotas gandrīz nekādas tās ļaundarbības pazīmes. Viss mainījās 2015. gadā, kad Kaspersky Lab pētnieki konstatēja maksimālo uzbrukumu skaitu: no 2015. gada maija līdz decembrim ar šo Trojas zirgu tika uzbrukts vairāk nekā sešiem tūkstošiem lietotāju. Vairums no viņiem dzīvo Austrālijā, Vācijā, Austrijā, Krievijā un Francijā.

Divus gadus novērojot šo Trojas zirgu, pētnieki ir pieredzējuši tā aktīvu attīstību. Viņi ir reģistrējuši vairāk nekā 10 jaunu šīs ļaunprogrammatūras versiju, kam katrai ir daudz garāks ļaunfunkciju saraksts nekā iepriekšējai.

Infographics_Acecard_Timeline_ENG

Uz grauda Google Play

Mobilās ierīces parasti tika inficētas pēc tam, kad bija lejupielādēta ļaunprogrammatūra, kas maskēta par leģitīmu lietotni. Acecard versijas visbiežāk tiek izplatītas kā Flash Player vai PornoVideo, tomēr dažkārt tiek izmantoti citi nosaukumi, cenšoties atdarināt noderīgas un populāras programmas.

Taču tas nav vienīgais šīs ļaunprogrammatūras izplatīšanas veids. 2015. gada 28. decembrī Kaspersky Lab eksperti oficiālajā veikalā Google Play pamanīja Acecard ielādēšanas Trojas zirga versiju Trojan-Downloader.AndroidOS.Acecard.b. Trojas zirgs tiek izplatīts, uzdodot to par spēli. Kad ļaunprogrammatūra ir instalēta no Google Play, lietotājs darbvirsmas ekrānā redzēs tikai Adobe Flash Player piktogrammu, bet nebūs nekādu citu instalētās lietotnes pazīmju.

Kas aiz tā slēpjas

Rūpīgi izpētījuši ļaunprogrammatūras kodu, Kaspersky Lab eksperti sliecas pieņemt, ka Acecard ir izstrādājusi tā pati kibernoziedznieku grupa, kas veidojusi pirmo anonīmā tīkla TOR Android Trojas zirgu Backdoor.AndroidOS.Torec.a un pirmo šifrētāju/izspiedējvīrusu mobilajām ierīcēm Trojan-Ransom.AndroidOS.Pletor.a.

Šo pieņēmumu apstiprina līdzīgas koda rindas (metožu un klašu nosaukumi) un to pašu komandvadības serveru izmantošana. Tas liecina, ka Acecard ir izstrādājusi spēcīga un pieredzējusi, visticamāk, krieviski runājošu noziedznieku grupa.

«Lai izplatītu banku Trojas zirgu Acecard, šī kibernoziedznieku grupa izmanto gandrīz visus pieejamos paņēmienus. To var izplatīt ar citiem Trojas zirgiem, nomaskētu par citu programmu vai izmantojot oficiālos lietotņu veikalus. Šī ļaunprogrammatūra izceļas ar to, ka spēj pārklāt vairāk nekā 30 banku un maksājumu sistēmu, kā arī sociālo tīklu, tūlītējas ziņapmaiņas un citas lietotnes. Acecard iespēju un izplatīšanas paņēmienu apvienojums padara šo mobilo banku Trojas zirgu par vienu no bīstamākajiem pašreizējiem lietotāju apdraudējumiem,» brīdina Kaspersky Lab vecākais ļaunprogrammatūru analītiķis ASV Romāns Unučeks.

Lai nepieļautu inficēšanos, Kaspersky Lab iesaka:

  • nelejupielādēt un/vai neinstalēt lietotnes no Google Play vai iekšējiem avotiem, ja tās ir neuzticamas vai uzskatāmas par tādām;

  • neapmeklēt aizdomīgas mājaslapas ar specifisku saturu un nenoklikšķināt uz aizdomīgām saitēm;

  • instalēt mobilajās ierīcēs uzticamu drošības risinājumu, piemēram, Kaspersky Internet Security for Android;

  • pārliecināties, ka antivīrusu datubāzes ir atjauninātas un pienācīgi darbojas.