El troyano Acecard: un riesgo para los usuarios de más de 30 aplicaciones para transacciones bancarias y pagos en Android

Feb 24, 2016 - by administrador

El equipo de Investigación Anti-malware de Kaspersky Lab ha detectado uno de los troyanos de transacciones bancarias más peligrosos jamás vistos en Android. El malware Acecard es capaz de atacar a los usuarios de casi 50 diferentes aplicaciones y servicios financieros en línea y puede eludir las medidas de seguridad de la tienda Google Play.

 

Durante el tercer trimestre de 2015, los expertos de Kaspersky Lab detectaron un aumento inusual en el número de ataques contra las transacciones bancarias móviles en Australia. Parecía sospechoso y muy pronto se descubrió que la razón principal de este aumento era un solo troyano bancario: Acecard.

 

La familia a la que pertenece el troyano Acecard utiliza casi toda la funcionalidad del software malicioso que existe actualmente, desde robar mensajes de texto y de voz de un banco hasta superponer ventanas de aplicaciones oficiales con mensajes falsos que simulan la página oficial de inicio de sesión, en un intento de robar la información personal y los detalles de las cuentas. Las versiones más recientes de la familia Acecard pueden atacar las aplicaciones para clientes de unos 30 bancos y sistemas de pago. Teniendo en cuenta que estos troyanos son capaces de superponer su mensaje a voluntad en cualquier aplicación, el número total de aplicaciones financieras atacadas puede ser mucho mayor.

 

Además de las aplicaciones bancarias, Acecard puede superponer ventanas de phishing en las siguientes aplicaciones:

 

• Servicios de mensajería instantánea (IM): WhatsApp, Viber, Instagram, Skype;

• Redes sociales: VKontakte, Odnoklassniki, Facebook, Twitter;

• El cliente de Gmail;

• La aplicación móvil de PayPal;

• Google Play y las aplicaciones de Google Music.

 

El malware fue detectado por primera vez en febrero de 2014, pero durante un largo periodo no mostró signos de actividad maliciosa. Todo cambió en 2015, cuando los investigadores de Kaspersky Lab detectaron un aumento en los ataques: en el período comprendido de mayo a diciembre de 2015, más de 6.000 usuarios fueron atacados con este troyano. La mayoría de ellos vivían en Rusia, Australia, Alemania, Austria y Francia.

    

Durante los dos años de observación, los investigadores de Kaspersky Lab fueron testigos del desarrollo activo de este troyano. Se registraron más de 10 nuevas versiones de este programa malicioso, cada una con una lista mucho más larga de funciones dañinas que la anterior.

 

Por lo regular, los dispositivos móviles adquirieron la infección después de bajar una aplicación maliciosa que se hacía pasar por una legítima. Las versiones de Acecard se distribuyen normalmente como Flash Player o PornoVideo, aunque a veces se utilizan otros nombres en un intento de imitar programas útiles y populares.

 

Pero esta no es la única forma en que este malware se distribuye. El 28 de diciembre de 2015, los expertos de Kaspersky Lab detectaron una versión descargable del troyano Acecard, la Trojan-Downloader.AndroidOS.Acecard.b, en la tienda oficial de Google Play. El troyano se propaga bajo la apariencia de un juego. Cuando el malware se instala desde Google Play, el usuario sólo verá un icono de Adobe Flash Player en la pantalla del escritorio y ninguna señal real de la aplicación instalada.

 

Mirando a fondo el código del malware, los expertos de Kaspersky Lab se inclinan a pensar que Acecard fue creado por el mismo grupo de cibercriminales responsables del primer troyano TOR para AndroidBackdoor.AndroidOS.Torec.a  y del primer programa de cifrado y ransomware móvil Trojan-Ransom.AndroidOS.Pletor.a.

 

La evidencia de esto se basa en líneas de código  similares (nombres de métodos y clases) y en el uso de los mismos servidores C & C (Command and Control). Esto demuestra que Acecard fue hecho por un grupo de criminales poderosos y experimentados, probablemente de habla rusa.

 

"Este grupo cibercriminal utiliza prácticamente todos los métodos disponibles para propagar el troyano bancario Acecard. Puede ser distribuido bajo la apariencia de otro programa, a través de las tiendas de aplicaciones oficiales, o por medio de otros troyanos. Una característica distintiva de este malware es que es capaz de superponerse en más de 30 sistemas bancarios y de pago, así como en las redes sociales, mensajería instantánea y otras aplicaciones. La combinación de las capacidades y los métodos de propagación de Acecard hacen de este móvil bancario una de las amenazas más peligrosas para los usuarios hoy en día", advierte Roman Unuchek, Analista de Malware Sénioren Kaspersky Lab USA.

 

Con el fin de prevenir la infección, Kaspersky Lab recomienda lo siguiente:

 

- No bajar ni instalar aplicaciones desde Google Play o fuentes internas si no son de confianza o se pueden tratar como tales;

- No visitar páginas web sospechosas con contenido específico ni hacer clic en enlaces sospechosos;

- Instalar una solución de seguridad fiable en los dispositivos móviles, como Kaspersky Internet Security para Android;

- Asegurarse de que las bases de datos antivirus están al día y funcionando correctamente. 

 

 

Para aprender más acerca del troyano Acecard, por favor lea el blog en el siguiente enlace: https://securelist.lat/blog/investigacion/82623/the-evolution-of-acecard/

 

0 Comentarios

Deje su comentario