Acecard

Acecard er en familie af mobile bank-trojanske heste, der viste en bemærkelsesværdig grad af udvikling i en relativt kort periode efter den første opdagelse. Den hurtige udvikling kan forklares med, at hackerne bag Acecard allerede havde været involveret i to tidligere mobile malware-trusler - Backdoor.AndroidOS.Torec.a, den første TOR Trojan til Android og Trojan-Ransom.AndroidOS.Pletor.a, den første ransomware til mobile enheder. Beviset for, at alle trusler var opstået fra den samme gruppe hackere, kan findes i den signifikante kodeoverlapping såvel som den samme klasse, metode og variabelnavne. Alle tre trusler er rettet mod Android-enheder.

Under sin aktivitet ændrede Acecard næsten alle dets egenskaber. Trojanen startede som en legitimationssamler fra forskellige applikationer på sociale medier, men udviklede sig til at omfatte bankapplikationer fra mange lande. Samtidig afveg geolokaliseringen af de målrettede brugere drastisk, idet de fire lande, der var mest påvirket af truslen, var Rusland, Australien, Tyskland og Frankrig. I en bestemt periode var USA det tredje mest berørte land.

Udvidelse af et sæt truende kommandoer

I de tidlige dage af Acecard-familien havde truslen et falsk overlay-vindue til kun Google Play-butikken og kunne kun håndtere fire kommandoer modtaget fra Command-and-Control (C&C, C2) -serveren:

• Start SMS-aflytning
• Stop SMS-aflytning
• Send en SMS til et bestemt nummer leveret af C&C serveren
• Skift kontrolnummer for den kompromitterede enhed

I den næste iteration havde de kriminelle imidlertid allerede udvidet vifte af tilgængelige kommandoer til 15, herunder indsamling af SMS-beskeder, opsamling af en liste over de installerede applikationer og exfiltrering af enhedens koordinater. Andre store ændringer var brugen af TOR-netværket til kommunikation med C&C og en betydelig stigning i phishing-vinduerne, der nu kunne lægge WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail og Twitter-applikationen.

Derefter flyttede hackerne deres opmærksomhed til Australien ved at inkludere et phishing-overlay for den mest populære bank i landet. Samtidig blev TOR-netværket ikke længere brugt til C & C-kommunikation. I en version, der blev opdaget kun to dage senere, var Acecard nu i stand til at indsamle legitimationsoplysninger fra fire australske banker. Denne version også for første gang i inkluderingen af en geo-restriktionsmekanisme indført i trusselfamilien. Acecard kontrollerede landekoden og tjenesteudbyderkoden for den inficerede enhed, og hvis de matchede Rusland, afsluttede malware dens udførelse.

Efter et par måneders lavere aktivitet var hackerne tilbage på det igen med en ny version, der var udstyret med et falsk PayPal-loginoverlay. Det havde også tilføjet en ny kommando, der, når den blev påberåbt, ville nulstille offerets enhed til fabriksindstillinger. Den næste version af Acecard viste hackernes interesse i at udvide deres rækkevidde ved at inkludere phishing-vinduer til fire New Zealand og tre tyske banker. På det tidspunkt havde Acecard falske overlays til 20 forskellige applikationer, hvoraf 13 var banker. Det var imidlertid ikke nok for de kriminelle, og de satte truslen i retning af overdrive - i flere efterfølgende Acecard-versioner blev tilføjet overlays for flere banker i Australien samt nye mål fra Honk Kong, Østrig, de tre største banker i USA, tre singaporeanske banker og endelig en spansk bank. Nye funktionaliteter blev også introduceret, såsom trusselens evne til at overføre indgående e-mails fra specifikke banker direkte til kriminelle. Senere blev denne evne raffineret, og i stedet for hele sms'en videresendte Acecard nu kun alle verifikations- eller registreringskoder.

Acecard præsenteret som populære ansøgninger om formering

For at narre brugere til at installere Acecard-behandlingen brugte hackerne næsten alle kendte metoder. De distribuerede malware under dække af en Flash Player eller pornovideo, foregav at være andre nyttige eller populære applikationer og anvendte endda en dropper-trojan. Denne dropper udgjorde som et spilapplikation, men næsten ingen indsats gik i at skabe en mere troværdig forklædning. Faktisk ville det umiddelbart efter installationen blot oprette et Adobe Flash-ikon på den inficerede enhed. Dropper Trojan formåede stadig at omgå sikkerhedsforanstaltningerne i den officielle Google Play Butik og var tilgængelig til download, før den blev taget ned.

En anden version af dropper Trojan var udstyret med evner til udnyttelse af sårbarheder. Som et resultat kunne det eskalere sine privilegier til superbrugerniveauet og derefter levere Acecard-malware-nyttelasten direkte til systemmappen og forhindre det i at blive slettet af den berørte bruger.