Nel corso del terzo trimestre 2015, gli esperti di Kaspersky Lab hanno rilevato un’insolita crescita nel numero di attacchi mobile banking in Australia. È sembrato subito sospetto e da lì a poco è stato scoperto che il motivo di questa crescita era causato da un solo Trojan banking: Acecard.
La famiglia dei Trojan Acecard utilizza quasi tutte le funzionalità malware attualmente disponibili – dal furto di documenti bancari e messaggi vocali fino alla sostituzione dell’applicazione ufficiale Windows con falsi messaggi che simulano la pagina del login nel tentativo di rubare informazioni personali e dettagli relativi al conto. Le versioni più recenti della famiglia Acecard possono attaccare le applicazioni dei clienti di circa 30 banche e sistemi di pagamento. Se si considera che questi Trojan sono in grado di sostituire su ordinazione qualsiasi applicazione, il numero totale di applicazioni finanziarie attaccate può essere addirittura più alto.
Oltre alle app banking, Acecard può sostituire le seguenti applicazioni grazie a finestre di phishing:
- Servizi IM: WhatsApp, Viber, Instagram, Skype;
- Social network: VKontakte, Odnoklassniki, Facebook, Twitter;
- Client Gmail;
- App PayPal mobile;
- Applicazioni Google Play e Google Music.
Questo malware è stato identificato per la prima volta nel febbraio 2014 ma era rimasto silente per un lungo periodo, senza manifestare segni di attività dannosa. Tutto è cambiato nel 2015, quando i ricercatori di Kaspersky Lab hanno riscontrato un picco di attacchi: da maggio a dicembre 2015 sono stati colpiti da questo Trojan più di 6mila utenti, per la maggior parte residenti in Russia, Australia, Germania, Austria e Francia.
Nel corso di due anni di osservazione del fenomeno, i ricercatori di Kaspersky Lab hanno potuto registrare lo sviluppo attivo del Trojan, rilevando più di 10 nuove versioni del malware, ognuna con lista di funzioni dannose sempre più lunga rispetto alla precedente.
Google Play è sotto attacco
I dispositivi mobili venivano solitamente infettati dopo il download di un’applicazione dannosa, mascherata da legittima. Le versioni Acecard vengono distribuite generalmente come Flash Player o PornoVideo, anche se talvolta sono stati usati altri nomi per imitare altri software utili e conosciuti.
Questo non è l’unico modo in cui questo malware viene distribuito. Il 28 dicembre 2015, gli esperti di Kaspersky Lab hanno rilevato una versione del Trojan downloader Acecard – Trojan-Downloader.AndroidOS.Acecard.b – nello store ufficiale di Google Play. Il Trojan si diffonde sotto forma di gioco: quando il malware si installa da Google Play, l’utente vedrà sullo schermo del desktop solo una icona di Adobe Flash Player e nessun segno effettivo dell’avvenuta installazione dell’applicazione.
Chi si nasconde dietro?
Osservando attentamente il codice malware, gli esperti di Kaspersky Lab credono che Acecard sia stato creato dallo stesso gruppo di criminali informatici responsabili del primo Trojan TOR per Android Backdoor.AndroidOS.Torec.a e del primo encryptor/ransomware mobile Trojan-Ransom.AndroidOS.Pletor.a.
Lo dimostra il fatto che sia basato su linee di codice simili (nomi di metodi e classi) e sull’utilizzo degli stessi server C&C (Command and Controls). Questo prova che Acecard sia stato realizzato da un gruppo di criminali potenti ed esperti, molto probabilmente di lingua russa.
“Questo gruppo di criminali informatici utilizza virtualmente ogni metodo disponibile per diffondere il Trojan banking Acecard. Può essere distribuito sotto le mentite spoglie di un altro programma, attraverso app store ufficiali o altri Trojan. Questo malware si distingue per la sua capacità di sostituire più di 30 sistemi banking e di pagamento così come social media, instant messaging e altre app. L’insieme delle funzioni di Acecard e dei metodi di diffusione lo rende una delle minacce più pericolose per gli utenti oggi”, avverte Roman Unuchek, Senior Malware Analyst di Kaspersky Lab USA.
Per prevenire le infezioni da questo virus, Kaspersky Lab consiglia di:
- Non scaricare o/e installare applicazioni da Google Play o fonti interne se sono inaffidabili o possono essere considerate tali;
- Non visitare pagine web con contenuti specifici e non cliccate link sospetti;
- Installare una soluzione di sicurezza affidabile per dispositivi mobile, come ad esempio Kaspersky Internet Security per Android;
- Assicurarsi che i database antivirus siano aggiornati e che funzionino correttamente