Acecard

Acecard è una famiglia di Trojan bancari mobili che ha mostrato un notevole tasso di evoluzione in un periodo relativamente breve dopo la sua prima scoperta. Il rapido sviluppo può essere spiegato dal fatto che gli hacker dietro Acecard erano già stati coinvolti con due precedenti minacce malware mobili: Backdoor.AndroidOS.Torec.a, il primo TOR Trojan per Android e Trojan-Ransom.AndroidOS.Pletor.a, il primo ransomware per dispositivi mobili. La prova che tutte le minacce sono state generate dallo stesso gruppo di hacker può essere trovata nella significativa sovrapposizione di codice, così come nella stessa classe, metodo e nomi di variabile. Tutte e tre le minacce prendono di mira i dispositivi Android.

Durante la sua attività Acecard ha modificato quasi tutte le sue caratteristiche. Il Trojan è nato come raccoglitore di credenziali da varie applicazioni di social media, ma si è evoluto per includere applicazioni bancarie di numerosi paesi. Allo stesso tempo, la geolocalizzazione degli utenti mirati è divergente drasticamente, con i quattro paesi più colpiti dalla minaccia sono Russia, Australia, Germania e Francia. Per un certo periodo gli Stati Uniti sono stati il terzo paese più colpito.

Espansione di una serie di comandi minacciosi

Agli albori della famiglia Acecard, la minaccia aveva una finta finestra di overlay solo per il Google Play Store e poteva gestire solo quattro comandi ricevuti dal server Command-and-Control (C&C, C2):

• Avvia l'intercettazione di SMS
• Interrompi l'intercettazione degli SMS
• Invia un SMS a un determinato numero fornito dal server C&C
• Modificare il numero di controllo per il dispositivo compromesso

Nella successiva iterazione, tuttavia, i criminali avevano già ampliato la gamma di comandi disponibili a 15, inclusa la raccolta di messaggi SMS, l'acquisizione di un elenco delle applicazioni installate e l'esfiltrazione delle coordinate del dispositivo. Altri cambiamenti importanti sono stati l'uso della rete TOR per la comunicazione con il C&C e un aumento significativo delle finestre di phishing che ora potrebbero sovrapporsi alle applicazioni WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail e Twitter.

Quindi, gli hacker hanno spostato la loro attenzione in Australia includendo un overlay di phishing per la banca più popolare del paese. Allo stesso tempo, la rete TOR non era più utilizzata per la comunicazione C&C. In una versione rilevata solo due giorni dopo, Acecard era ora in grado di raccogliere le credenziali da quattro banche australiane. Questa versione anche così per la prima volta nell'inclusione di un meccanismo di restrizione geografica introdotto nella famiglia delle minacce. Acecard ha controllato il codice del paese e il codice del fornitore di servizi del dispositivo infetto e, se corrispondevano alla Russia, il malware ha interrotto la sua esecuzione.

Dopo un paio di mesi di attività ridotta, gli hacker sono tornati di nuovo con una nuova versione che era stata dotata di un falso overlay di accesso PayPal. Aveva anche aggiunto un nuovo comando che, se richiamato, ripristinava il dispositivo della vittima alle impostazioni di fabbrica. La versione successiva di Acecard ha mostrato l'interesse degli hacker ad espandere la loro portata includendo finestre di phishing per quattro banche neozelandesi e tre tedesche. A quel punto, Acecard aveva falsi overlay per 20 diverse applicazioni, 13 delle quali erano banche. Ciò, tuttavia, non è stato sufficiente per i criminali e hanno portato lo sviluppo della minaccia in overdrive: in diverse versioni successive di Acecard, sono state aggiunte sovrapposizioni per più banche in Australia, così come nuovi obiettivi da Honk Kong, Austria, i tre banche più grandi negli Stati Uniti, tre banche di Singapore e, infine, una banca spagnola. Sono state inoltre introdotte nuove funzionalità, come la capacità della minaccia di trasferire e-mail in entrata da banche specifiche direttamente ai criminali. Successivamente, tale capacità è stata perfezionata e, invece dell'intero SMS, Acecard ora inoltrava solo eventuali codici di verifica o registrazione.

Acecard ha proposto come applicazioni popolari per la propagazione

Per indurre gli utenti a installare Acecard Treat, gli hacker hanno utilizzato quasi tutti i metodi conosciuti. Hanno distribuito il malware con il pretesto di un Flash Player o di un video porno, hanno finto di essere altre applicazioni utili o popolari e hanno persino impiegato un trojan contagocce. Questo contagocce si proponeva come un'applicazione di gioco, ma quasi nessuno sforzo è stato fatto per creare un travestimento più credibile. Infatti, subito dopo l'installazione, creerebbe semplicemente un'icona Adobe Flash sul dispositivo infetto. Il trojan dropper è comunque riuscito a bypassare le misure di sicurezza del Google Play Store ufficiale ed era disponibile per il download prima di essere rimosso.

Un'altra versione del trojan dropper era dotata di capacità di sfruttamento delle vulnerabilità. Di conseguenza, potrebbe aumentare i suoi privilegi al livello di superutente e successivamente inviare il payload del malware Acecard direttamente alla cartella di sistema e impedire che venga eliminato dall'utente interessato.