Acecard: o malware ‘coringa’ para Android

Parece que agora há um cenário típico para a evolução de malware. Primeiro, os cibercriminosos liberam um esqueleto com funções básicas – o vírus fica praticamente inerte, mostrando quase nenhuma

Parece que agora há um cenário típico para a evolução de malware. Primeiro, os cibercriminosos liberam um esqueleto com funções básicas – o vírus fica praticamente inerte, mostrando quase nenhuma atividade maliciosa. Ele acaba sendo mapeado por diversas companhias de antivírus logo depois que é liberado, mas os especialistas o consideram como qualquer outro código malicioso: nada de muito interessante.

Depois de algum tempo o Trojan recebe funções adicionais e se torna capaz de causar muito mais dano que sua primeira versão. No terceiro estágio, a campanha de ataque começa: milhares de dispositivos são infectados e é aí que o vírus faz seu trabalho sujo. A quantidade de danos provocados depende do tipo do trojan – pode ser um ransomware demandando centenas de dólares, um banking trojan roubando tudo que conseguir de cartões de crédito, uma ferramenta de espionagem etc.

Esse foi exatamente o cenário para o Asacub, que surgiu como um programa simples de phishing e se tornou uma arma pesada cheia de funcionalidades. E agora o Acecard seguiu um caminho similar. Esse malware parece ser ainda pior que o Asacub.

O Acecard é da família dos bankings Trojans para Android, contendo diversas modificações do mesmo trojan. Como a maioria dos bankings Trojans, ele opera sobrepondo os aplicativos dos bancos com sua própria cópia de phishing na qual o usuário desavisado insere seus dados bancários. Uma vez que o usuário aperta “Entrar” (ou algo do tipo) – os dados são roubados e os malfeitores transferem dinheiro para suas contas de faixada, ou vendem os dados para terceiros.

O Acecard se destaca por duas razões principais. Primeiro, trojans bancários comuns são usualmente capazes de sobrepor poucos aplicativos de bancos, enquanto o Acecard é capaz de fazê-lo com quase 30 bancos e sistemas de pagamento. O Acecard também pode receber comandos de um servidor de comando e controle para sobrepor QUALQUER aplicativo, então o número de aplicativos atacados pode ser ainda maior.

Segundo, não se limita apenas a aplicativos bancários. O Acecard também pode ser usado para provocar phishing em aplicativos de mídias sociais (Facebook, Twitter, Instagram), mensagens instantâneas (WhatsApp, Viber, Skype), além de PayPal e Gmail. Ele também é capaz de sobrepor a Google Play Store e a Google Play Music com janelas de phishing.

 

O Acecard não é distribuído pelos usuais e-mails de spam, mas sim se passando por algo potencialmente útil: por exemplo, fingindo ser o Adobe Flash. Aproveitamos para lembrar que o Adobe Flash para Android foi cancelado em 2012, então NÃO existe Flash Player genuíno para Android atualmente. Mas esse não é o único canal de distribuição – nossos pesquisadores encontraram um trojan que baixa o Acecard na Google Play Store.

O Acecard foi detectado pela primeira vez em fevereiro de 2014 – e nesse momento, como já mencionamos, ele não mostrava sinal de atividade maliciosa. Levou quase um ano e meio para que os cibercriminosos o tornassem uma verdadeira ameaça, adicionando funcionalidades nas versões mais recentes. Nossos especialistas detectaram mais de 10 versões desse malware. A mais recente é tão poderosa que Roman Unuchek, Analista Sênior de Malware da Kaspersky Lab, a chamou de “uma das ameaças mais perigosas para os usuários hoje.”

E aí, em maio de 2015, os ataques começaram. Durante o intervalo de tempo entre maio e setembro de 2015 mais de 6000 usuários foram atacados. O Acecard sozinho é responsável por um aumento gigantesco no número de ciberataques a bancos na Austrália, suas outras vítimas residem primariamente na Rússia, Alemanha, Áustria e França.

De modo a se proteger do Acecard e de outros do tipo, sugerimos que você faça o seguinte:

  1. Preste mais atenção nos aplicativos instalados. Por exemplo, Acecard não mostra nada além do logo do Flash Player enquanto executado, mas esse é o momento perfeito para lembrar que não há mais Flash Player para Android.
  2. Não baixe aplicativos de lojas não oficiais e mesmo que você esteja usando uma loja oficial de aplicativos, não baixe aqueles cuja origem você não conhece ou realmente não precisa. Hackers podem burlar a segurança da Google Play e o seu novo papel de parede de gatinho pode estar infectado.
  3. Use uma boa solução de segurança. O Kaspersky Internet Security para Android detecta todas as versões do Acecard, portanto, serve como uma boa proteção contra o Acecard bem como outras famílias de malware.
Dicas