Így rabolja el egy vírus a pénzedet!

TF- információ

február 28, 2016 16:55 (Frissítve: december 29, 2022)

5 perc olvasás

Így indult az ügy

2015 harmadik negyedévében a Kaspersky Lab szakértői az ausztrál mobil banki támadások számának szokatlan növekedését észlelték. Ez gyanúsnak tűnt a számukra, és nagyon hamar felfedezték, hogy a növekedés oka egy banki trójai volt: az Acecard.

Az Acecard trójai család szinte az összes olyan malware funkciót használja, amely jelenleg ismert – kezdve a bankok szöveges és hangüzeneteinek az ellopásától a hivatalos alkalmazásablakok lefedéséig olyan hamis üzenetekkel, amelyek utánozzák a hivatalos bejelentkezési oldalt, így próbálva meg ellopni személyes információkat és számla adatokat.

[extracode type=”ad” id=”in_post_trendextra” data=”81″]

Az Acecard család legújabb változata képes megtámadni mintegy 30 banki és fizetési rendszer ügyfél alkalmazását. Tekintettel arra, hogy ezek a trójaiak képesek bármilyen alkalmazás ablakát utánozni, a pénzügyi támadást elszenvedett alkalmazások száma még ennél is sokkal nagyobb lehet.

A banki alkalmazások mellett az Acecard képes lefedni az alábbi alkalmazásokat is adathalász ablakokkal:
– IM szolgáltatások: WhatsApp, Viber, Instagram, Skype;
– Közösségi hálózatok: VKontakte, Odnoklassniki, Facebook, Twitter;
– Gmail kliens;
– PayPal mobilalkalmazás;
– Google Play és Google Music alkalmazások.

A malware-t először 2014 februárjában észlelték, de hosszú ideig nem mutatta szinte semmi jelét rosszindulatú tevékenységnek. 2015-ben minden megváltozott, amikor a Kaspersky Lab kutatói a támadások számának növekedését észlelték: a 2015 májusától decemberéig tartó időszakban több mint 6000 felhasználót támadott meg ez a trójai. A legtöbbjük Oroszországban, Ausztráliában, Németországban, Ausztriában és Franciaországban lakott.

Gyorsan terjeszkedett

A két évig tartó megfigyelés során a Kaspersky Lab kutatói szemtanúi voltak a trójai aktív fejlődésének. Több mint 10 új verziót azonosítottak, mindegyik sokkal hosszabb listával rendelkezett a rosszindulatú funkciók terén, mint az előző.

A mobileszközöket általában azután érte a fertőzés, hogy letöltöttek egy eredetinek álcázott rosszindulatú alkalmazást. Az Acecard verzióit többnyire Flash Player-ként vagy PornoVideo-ként terjesztik, bár néha más népszerű szoftver nevét is használják.

[extracode type=”ad” id=”in_post”]

De ez nem az egyetlen módja a malware terjesztésének. 2015 december 28-án a Kaspersky Lab szakértői a hivatalos Google Play Áruházban fedezték fel az Acecard trójai egyik verzióját, amelyet egy játéknak álcáztak (Trojan-Downloader.AndroidOS.Acecard.b). Amikor egy felhasználó telepíti a trójait a Google Play Áruházból, csak az Adobe Flash Player ikonját látja a képernyőn, a telepített alkalmazásra nem utal semmi.

Miután alaposan megvizsgálták a malware kódot, a Kaspersky Lab szakértői arra jutottak, hogy az Acecard trójait ugyanaz a bűnözőcsoport alkotta, amelyik az első androidos TOR trójait – Backdoor.AndroidOS.Torec.a –, valamint az első mobil titkosító és zsaroló programot – Trojan-Ransom.AndroidOS.Pletor.a – készítette.

Ezt a megállapítást az azonos kódsorok és ugyanazoknak a C&C (parancs és vezérlő) szervereknek a használata támasztja alá. Vagyis az Acecard trójait egy erős és tapasztalt bűnözői csoport készítette, amelynek a tagjai valószínűleg orosz anyanyelvűek.

“Ez a kiberbűnözői csoport gyakorlatilag minden lehetséges eszközt felhasznál arra, hogy terjessze az Acecard trójait: egy másik programnak álcázva, hivatalos alkalmazás áruházakban vagy más trójaiak segítségével. Ennek a malware-nek a fő megkülönböztető jellemzője az, hogy képes több mint 30 banki és fizetési rendszer, valamint közösségi média, azonnali üzenetküldő és más alkalmazás ablakát lefedni” – figyelmeztet Roman Unuchek, a Kaspersky Lab vezető víruselemzője.