Acecard

Acecard Beschrijving

Acecard is een familie van trojaanse paarden voor mobiel bankieren die een opmerkelijke evolutie vertoonden in een relatief korte periode na de eerste ontdekking. De snelle ontwikkeling kan worden verklaard door het feit dat de hackers achter Acecard al betrokken waren bij twee eerdere mobiele malwarebedreigingen: Backdoor.AndroidOS.Torec.a, de eerste TOR Trojan voor Android en Trojan-Ransom.AndroidOS.Pletor.a, de eerste ransomware voor mobiele apparaten. Het bewijs dat alle bedreigingen voortkwamen uit dezelfde groep hackers, is te vinden in de aanzienlijke code-overlap, evenals in de identieke klasse-, methode- en variabelenamen. Alle drie de bedreigingen zijn gericht op Android-apparaten.

Tijdens zijn activiteit veranderde Acecard bijna al zijn kenmerken. De Trojan begon als een verzamelaar van inloggegevens van verschillende sociale-mediatoepassingen, maar evolueerde naar banktoepassingen uit tal van landen. Tegelijkertijd liepen de geolocaties van de beoogde gebruikers drastisch uiteen, waarbij de vier landen die het meest werden getroffen door de dreiging Rusland, Australië, Duitsland en Frankrijk waren. De VS waren gedurende een bepaalde periode het derde meest getroffen land.

Een reeks dreigende opdrachten uitbreiden

In de begintijd van de Acecard-familie had de dreiging een nep-overlayvenster voor alleen de Google Play Store en kon hij slechts vier opdrachten verwerken die werden ontvangen van de Command-and-Control-server (C&C, C2):

  • Start sms-onderschepping
  • Stop het onderscheppen van sms
  • Stuur een sms naar een bepaald nummer van de C&C server
  • Wijzig het controlenummer voor het gecompromitteerde apparaat

In de volgende iteratie hadden de criminelen de reeks beschikbare opdrachten echter al uitgebreid tot 15, waaronder het verzamelen van sms-berichten, het opvragen van een lijst met de geïnstalleerde applicaties en het exfiltreren van de coördinaten van het apparaat. Andere grote veranderingen waren het gebruik van het TOR-netwerk voor communicatie met de C&C, en een aanzienlijke toename van de phishing-vensters die nu de WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail en de Twitter-applicatie konden overlappen.

Vervolgens vestigden de hackers hun aandacht op Australië door een phishing-overlay op te nemen voor de populairste bank van het land. Tegelijkertijd werd het TOR-netwerk niet meer gebruikt voor C & C-communicatie. In een versie die slechts twee dagen later werd ontdekt, was Acecard nu in staat om inloggegevens van vier Australische banken te verzamelen. Deze versie ook zo voor het eerst in de opname van een geo-restrictiemechanisme geïntroduceerd in de bedreigingsfamilie. Acecard controleerde de landcode en de serviceprovidercode van het geïnfecteerde apparaat en als ze overeenkwamen met Rusland, beëindigde de malware de uitvoering ervan.

Na een paar maanden van minder activiteit waren de hackers er weer mee bezig met een nieuwe versie die was uitgerust met een nep-PayPal-inlogoverlay. Er was ook een nieuw commando aan toegevoegd dat, wanneer het wordt aangeroepen, het apparaat van het slachtoffer terugzet naar de fabrieksinstellingen. De volgende versie van Acecard toonde de interesse van de hackers om hun bereik te vergroten door phishing-vensters op te nemen voor vier Nieuw-Zeelandse en drie Duitse banken. Op dat moment had Acecard nep-overlays voor 20 verschillende applicaties, waarvan 13 banken. Dat was echter niet genoeg voor de criminelen, en ze zetten de ontwikkeling van de dreiging in een stroomversnelling - in verschillende daaropvolgende Acecard-versies werden overlays voor meer banken in Australië toegevoegd, evenals nieuwe doelen van Honk Kong, Oostenrijk, de drie grootste banken in de VS, drie Singaporese banken en tot slot een Spaanse bank. Ook werden nieuwe functionaliteiten geïntroduceerd, zoals het vermogen van de dreiging om inkomende e-mails van specifieke banken rechtstreeks naar de criminelen te sturen. Later werd die mogelijkheid verfijnd en in plaats van de hele sms stuurde Acecard nu alleen verificatie- of registratiecodes door.

Acecard deed zich voor als populaire toepassingen voor voortplanting

Om gebruikers te misleiden om de Acecard-traktatie te installeren, gebruikten de hackers bijna alle bekende methoden. Ze verspreidden de malware onder het mom van een Flash Player of pornovideo, deden zich voor als andere nuttige of populaire applicaties en gebruikten zelfs een dropper Trojan. Deze druppelaar deed zich voor als een game-applicatie, maar er werd bijna geen moeite gedaan om een meer geloofwaardige vermomming te creëren. In feite zou het onmiddellijk na de installatie eenvoudig een Adobe Flash-pictogram op het geïnfecteerde apparaat creëren. De dropper Trojan slaagde er nog steeds in om de beveiligingsmaatregelen van de officiële Google Play Store te omzeilen en was beschikbaar om te downloaden voordat het werd verwijderd.

Een andere versie van de dropper Trojan was uitgerust met mogelijkheden om kwetsbaarheden te misbruiken. Als gevolg hiervan zou het zijn rechten kunnen escaleren naar het supergebruikersniveau en vervolgens de Acecard-malware-payload rechtstreeks naar de systeemmap kunnen sturen en voorkomen dat deze door de getroffen gebruiker wordt verwijderd.