Acecard

Acecard ist eine Familie von Mobile-Banking-Trojanern, die nach ihrer ersten Entdeckung in relativ kurzer Zeit eine bemerkenswerte Entwicklungsrate aufwiesen. Die rasante Entwicklung kann durch die Tatsache erklärt werden, dass die Hacker hinter Acecard bereits an zwei früheren Bedrohungen durch mobile Malware beteiligt waren - Backdoor.AndroidOS.Torec.a, der erste TOR-Trojaner für Android und Trojan-Ransom.AndroidOS.Pletor.a, die erste Ransomware für mobile Geräte. Der Beweis, dass alle Bedrohungen von derselben Gruppe von Hackern ausgehen, findet sich in der signifikanten Codeüberlappung sowie in den identischen Klassen-, Methoden- und Variablennamen. Alle drei Bedrohungen zielen auf Android-Geräte ab.

Während seiner Tätigkeit hat Acecard fast alle Eigenschaften verändert. Der Trojaner begann als Sammler von Anmeldeinformationen für verschiedene Social-Media-Anwendungen, entwickelte sich jedoch zu Bankanwendungen aus zahlreichen Ländern. Gleichzeitig ging die Geolokalisierung der Zielnutzer drastisch auseinander, wobei Russland, Australien, Deutschland und Frankreich die vier am stärksten von der Bedrohung betroffenen Länder waren. Für einen bestimmten Zeitraum waren die USA das am dritthäufigsten betroffene Land.

Erweiterung einer Reihe von Bedrohungsbefehlen

In den frühen Tagen der Acecard-Familie hatte die Bedrohung ein gefälschtes Overlay-Fenster nur für den Google Play Store und konnte nur vier Befehle verarbeiten, die vom Command-and-Control-Server (C & C, C2) empfangen wurden:

• Initiieren Sie das Abfangen von SMS
• Stoppen Sie das Abfangen von SMS
• Senden Sie eine SMS an eine bestimmte Nummer, die vom C & C-Server bereitgestellt wird
• Ändern Sie die Kontrollnummer für das gefährdete Gerät

In der nächsten Iteration hatten die Kriminellen das Array der verfügbaren Befehle jedoch bereits auf 15 erweitert, darunter das Sammeln von SMS-Nachrichten, das Abrufen einer Liste der installierten Anwendungen und das Exfiltrieren der Gerätekoordinaten. Weitere wichtige Änderungen waren die Verwendung des TOR-Netzwerks für die Kommunikation mit C & C und eine deutliche Erhöhung der Phishing-Fenster, die jetzt WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Google Mail und die Twitter-Anwendung überlagern können.

Dann richteten die Hacker ihre Aufmerksamkeit auf Australien, indem sie ein Phishing-Overlay für die beliebteste Bank des Landes einfügten. Gleichzeitig wurde das TOR-Netzwerk nicht mehr für die C & C-Kommunikation verwendet. In einer Version, die nur zwei Tage später entdeckt wurde, war Acecard nun in der Lage, Anmeldeinformationen von vier australischen Banken zu sammeln. Diese Version wurde auch so zum ersten Mal in die Aufnahme eines Georestriktionsmechanismus in die Bedrohungsfamilie eingeführt. Acecard überprüfte den Ländercode und den Dienstanbietercode des infizierten Geräts. Wenn sie mit Russland übereinstimmten, beendete die Malware die Ausführung.

Nach ein paar Monaten geringerer Aktivität waren die Hacker mit einer neuen Version, die mit einem gefälschten PayPal-Login-Overlay ausgestattet war, wieder dabei. Außerdem wurde ein neuer Befehl hinzugefügt, der beim Aufrufen das Gerät des Opfers auf die Werkseinstellungen zurücksetzt. Die nächste Version von Acecard zeigte das Interesse der Hacker, ihre Reichweite durch Phishing-Fenster für vier neuseeländische und drei deutsche Banken zu erweitern. Zu diesem Zeitpunkt hatte Acecard gefälschte Overlays für 20 verschiedene Anwendungen, von denen 13 Banken waren. Für die Kriminellen war dies jedoch nicht genug, und sie haben die Entwicklung der Bedrohung auf Hochtouren gebracht - in mehreren nachfolgenden Acecard-Versionen wurden Überlagerungen für mehr Banken in Australien sowie neue Ziele aus Honk Kong, Österreich, die größten Banken in den USA, drei singapurische Banken und schließlich eine spanische Bank hinzugefügt. Außerdem wurden neue Funktionen eingeführt, beispielsweise die Möglichkeit der Bedrohung, eingehende E-Mails von bestimmten Banken direkt an die Kriminellen zu übertragen. Später wurde diese Fähigkeit verfeinert, und anstelle der gesamten SMS leitete Acecard nur noch Bestätigungs- oder Registrierungscodes weiter.

Acecard wird als beliebte Anwendung dargestellt zwecks Ausbreitung

Um Benutzer zur Installation der Acecard-Behandlung zu verleiten, verwendeten die Hacker fast alle bekannten Methoden. Sie verteilten die Malware unter dem Deckmantel eines Flash Players oder eines Porno-Videos, gaben vor, andere nützliche oder beliebte Anwendungen zu sein, und setzten sogar einen Dropper-Trojaner ein. Dieser Dropper stellte sich als Spieleanwendung vor, aber es wurden fast keine Anstrengungen unternommen, um eine glaubwürdigere Verkleidung zu schaffen. Tatsächlich wird unmittelbar nach der Installation einfach ein Adobe Flash-Symbol auf dem infizierten Gerät erstellt. Der Dropper-Trojaner konnte die Sicherheitsmaßnahmen des offiziellen Google Play Store weiterhin umgehen und stand vor dem Herunterfahren zum Download zur Verfügung.

Eine andere Version des Dropper-Trojaners war mit Fähigkeiten zur Ausnutzung von Sicherheitslücken ausgestattet. Infolgedessen könnte es seine Berechtigungen auf die Superuser-Ebene eskalieren und anschließend die Acecard-Malware-Nutzdaten direkt an den Systemordner liefern und verhindern, dass sie vom betroffenen Benutzer gelöscht werden.