Acecard

Descrição do Acecard

Acecard é uma família de Trojans bancários para celular, que exibiu uma taxa de evolução notável em um período relativamente curto após sua primeira descoberta. O rápido desenvolvimento pode ser explicado pelo fato de que os hackers por trás do Acecard já haviam se envolvido com duas ameaças de malware móvel anteriores - Backdoor.AndroidOS.Torec.a, o primeiro TOR Trojan para Android e Trojan-Ransom.AndroidOS.Pletor.a, o primeiro ransomware para dispositivos móveis. A evidência de que todas as ameaças foram geradas do mesmo grupo de hackers pode ser encontrada na sobreposição de código significativa, bem como nos nomes de classes, métodos e variáveis idênticos. Todas as três ameaças visam dispositivos Android.

Durante a sua atividade, a Acecard mudou quase todas as suas características. O Trojan começou como um coletor de credenciais de vários aplicativos de mídia social, mas evoluiu para incluir aplicativos bancários de vários países. Ao mesmo tempo, a geolocalização dos usuários-alvo divergiu drasticamente, com os quatro países mais afetados pela ameaça sendo Rússia, Austrália, Alemanha e França. Por um certo período, os EUA foram o terceiro país mais afetado.

Expandindo um Conjunto de Comandos Ameaçadores

Nos primeiros dias da família Acecard, a ameaça tinha uma janela de sobreposição falsa apenas para a loja do Google Play e só podia lidar com quatro comandos recebidos do servidor Command-and-Control (C&C, C2):

  • Iniciar interceptação de SMS
  • Interromper a interceptação de SMS
  • Enviar um SMS para um determinado número fornecido pelo servidor C&C
  • Alterar o número de controle do dispositivo comprometido

Na iteração seguinte, no entanto, os criminosos já haviam expandido o conjunto de comandos disponíveis para 15, incluindo a coleta de mensagens SMS, a obtenção de uma lista dos aplicativos instalados e a extração das coordenadas do dispositivo. Outras mudanças importantes foram o uso da rede TOR para comunicação com o C&C, e um aumento significativo das janelas de phishing que agora poderiam se sobrepor ao aplicativo WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail e Twitter.

Em seguida, os hackers voltaram a sua atenção para a Austrália, incluindo uma sobreposição de phishing para o banco mais popular do país. Ao mesmo tempo, a rede TOR não era mais usada para comunicação C&C. Em uma versão detectada apenas dois dias depois, o Acecard agora era capaz de coletar credenciais de quatro bancos australianos. Esta versão também é válida pela primeira vez na inclusão de um mecanismo de restrição geográfica introduzido na família de ameaças. O Acecard verificou o código do país e o código do provedor de serviços do dispositivo infectado e, se eles correspondiam à Rússia, o malware encerrou sua execução.

Depois de alguns meses de atividade mais baixa, os hackers estavam de volta com uma nova versão que foi equipada com uma sobreposição de login do PayPal falso. Ele também tinha um novo comando adicionado que, quando invocado, redefinia o dispositivo da vítima para as configurações de fábrica. A próxima versão do Acecard mostrou o interesse dos hackers em expandir seu alcance, incluindo janelas de phishing para quatro bancos da Nova Zelândia e três bancos alemães. Nesse ponto, o Acecard tinha sobreposições falsas para 20 aplicativos diferentes, 13 dos quais eram bancos. Isso, no entanto, não foi suficiente para os criminosos e eles aceleraram o desenvolvimento da ameaça - em várias versões subsequentes do Acecard, foram adicionadas sobreposições para mais bancos na Austrália, bem como novos alvos de Honk Kong, Áustria, os três maiores bancos dos EUA, três bancos de Singapura e, finalmente, um banco espanhol. Novas funcionalidades também foram introduzidas, como a capacidade da ameaça de transferir emails recebidos de bancos específicos diretamente para os criminosos. Posteriormente, essa capacidade foi refinada e, em vez de todo o SMS, a Acecard passou a encaminhar apenas os códigos de verificação ou registro.

O Acecard foi Apresentado como um Aplicativo Popular para Propagação

Para induzir os usuários a instalar o tratamento Acecard, os hackers usaram quase todos os métodos conhecidos. Eles distribuíram o malware sob o disfarce de um Flash Player ou vídeo pornô, fingiram ser outros aplicativos úteis ou populares e até empregaram um Trojan dropper. Este conta-gotas posou como um aplicativo de jogo, mas quase nenhum esforço foi feito para criar um disfarce mais crível. Na verdade, imediatamente após a instalação, ele simplesmente criaria um ícone do Adobe Flash no dispositivo infectado. O Trojan dropper ainda conseguiu contornar as medidas de segurança da Google Play Store oficial e estava disponível para download antes de ser removido.

Outra versão do Trojan dropper foi equipado com habilidades de exploração de vulnerabilidade. Como resultado, ele pode escalar seus privilégios para o nível de super-usuário e, subsequentemente, entregar a carga do malware Acecard diretamente para a pasta do sistema e evitar que seja excluído pelo usuário afetado.