«Kaspersky Lab» Pretļaunprogrammatūru pētniecības grupa ir konstatējusi vienu no bīstamākajiem līdz šim sastaptajiem «Android» banku Trojas zirgiem. Ļaunprogrammatūra «Acecard» spēj uzbrukt gandrīz 50 tiešsaistes finanšu pakalpojumiem un lietotnēm, kā arī prot apiet veikala «Google Play» drošības līdzekļus.
2015. gada trešajā ceturksnī «Kaspersky Lab» speciālisti novēroja neparastu uzbrukumu skaita pieaugumu mobilajām bankām Austrālijā. Tas izskatījās aizdomīgi, un ļoti drīz tika atklāts, ka šā pieauguma galvenais iemesls bija viens vienīgs banku Trojas zirgs «Acecard».
Trojas zirgu «Acecard» ģimene aptver gandrīz visas pašlaik pieejamās ļaunprogrammatūru funkcijas, sākot no bankas teksta un balss ziņojumu zagšanas līdz oficiālās lietotnes logu pārklāšanai ar viltotiem paziņojumiem, kas atdarina oficiālo pieteikšanās lapu, lai censtos nozagt personisko un konta informāciju.
«Acecard» ģimenes jaunākās versijas var uzbrukt aptuveni 30 banku un maksājumu sistēmu klientu lietotnēm.
Ņemot vērā to, ka šie Trojas zirgi pēc komandas spēj pārklāt jebkuru lietotni, uzbrukumiem pakļauto finanšu programmu kopskaits var būt daudz lielāks.
Līdztekus banku lietotnēm «Acecard» spēj pārklāt ar pikšķerēšanas logiem tādas programmas kā tūlītējas ziņapmaiņas pakalpojumus «WhatsApp», «Viber», «Instagram» un «Skype», sociālos tīklus «VKontakte», «Odnoklassniki», «Facebook» un «Twitter», kā arī Gmail klientu, PayPal mobilo lietotni un «Google Play» un «Google Music» lietotnes.
Šī ļaunprogrammatūra pirmo reizi ir pamanīta 2014. gada februārī, bet ilgu laiku netika novērotas gandrīz nekādas tās ļaundarbības pazīmes. Viss mainījās 2015. gadā, kad «Kaspersky Lab» pētnieki konstatēja maksimālo uzbrukumu skaitu -
no 2015. gada maija līdz decembrim ar šo Trojas zirgu tika uzbrukts vairāk nekā sešiem tūkstošiem lietotāju. Vairums no viņiem dzīvo Austrālijā, Vācijā, Austrijā, Krievijā un Francijā.
Divus gadus novērojot šo Trojas zirgu, pētnieki ir pieredzējuši tā aktīvu attīstību. Viņi ir reģistrējuši vairāk nekā 10 jaunu šīs ļaunprogrammatūras versiju, kam katrai ir daudz garāks ļaunfunkciju saraksts nekā iepriekšējai.
Uz grauda Google Play
Mobilās ierīces parasti tika inficētas pēc tam, kad bija lejupielādēta ļaunprogrammatūra, kas maskēta par leģitīmu lietotni.
«Acecard» versijas visbiežāk tiek izplatītas kā Flash Player vai PornoVideo,
tomēr dažkārt tiek izmantoti citi nosaukumi, cenšoties atdarināt noderīgas un populāras programmas.
Taču tas nav vienīgais šīs ļaunprogrammatūras izplatīšanas veids. 2015.gada 28.decembrī «Kaspersky Lab» eksperti oficiālajā veikalā «Google Play» pamanīja «Acecard» ielādēšanas Trojas zirga versiju «Trojan-Downloader.AndroidOS.Acecard.b.»
Trojas zirgs tiek izplatīts, uzdodot to par spēli.
Kad ļaunprogrammatūra ir instalēta no «Google Play», lietotājs darbvirsmas ekrānā redzēs tikai Adobe Flash Player piktogrammu, bet nebūs nekādu citu instalētās lietotnes pazīmju.
Kas aiz tā slēpjas
Rūpīgi izpētījuši ļaunprogrammatūras kodu, «Kaspersky Lab» eksperti sliecas pieņemt, ka «Acecard» ir izstrādājusi tā pati kibernoziedznieku grupa, kas veidojusi pirmo anonīmā tīkla TOR Android Trojas zirgu Backdoor.AndroidOS.Torec.a un pirmo šifrētāju/izspiedējvīrusu mobilajām ierīcēm Trojan-Ransom.AndroidOS.Pletor.a.
Šo pieņēmumu apstiprina līdzīgas koda rindas (metožu un klašu nosaukumi) un to pašu komandvadības serveru izmantošana. Tas liecina, ka
«Acecard» ir izstrādājusi spēcīga un pieredzējusi, visticamāk, krieviski runājošu noziedznieku grupa.
«Lai izplatītu banku Trojas zirgu «Acecard», šī kibernoziedznieku grupa izmanto gandrīz visus pieejamos paņēmienus. To var izplatīt ar citiem Trojas zirgiem, nomaskētu par citu programmu vai izmantojot oficiālos lietotņu veikalus.
Šī ļaunprogrammatūra izceļas ar to, ka spēj pārklāt vairāk nekā 30 banku un maksājumu sistēmu, kā arī sociālo tīklu, tūlītējas ziņapmaiņas un citas lietotnes.
«Acecard»iespēju un izplatīšanas paņēmienu apvienojums padara šo mobilo banku Trojas zirgu par vienu no bīstamākajiem pašreizējiem lietotāju apdraudējumiem,» brīdina «Kaspersky Lab» vecākais ļaunprogrammatūru analītiķis ASV Romāns Unučeks.
Lai nepieļautu inficēšanos, «Kaspersky Lab» iesaka:
nelejupielādēt un/vai neinstalēt lietotnes no «Google Play» vai iekšējiem avotiem, ja tās ir neuzticamas vai uzskatāmas par tādām; neapmeklēt aizdomīgas mājaslapas ar specifisku saturu un nenoklikšķināt uz aizdomīgām saitēm; instalēt mobilajās ierīcēs uzticamu drošības risinājumu, piemēram, Kaspersky Internet Security for Android; pārliecināties, ka antivīrusu datubāzes ir atjauninātas un pienācīgi darbojas.
«Kaspersky Lab» ir pasaulē lielākais informācijas drošības jomā strādājošais privātuzņēmums un viens no visstraujāk augošajiem aizsardzības risinājumu piegādātājiem. Uzņēmums ir viens no četriem vadošajiem galiekārtu lietotāju IT drošības risinājumu ražotājiem pasaulē. Kopš 1997.gada «Kaspersky Lab» rada inovatīvus un efektīvus aizsardzības risinājumus un pakalpojumus lielām korporācijām, maziem un vidējiem uzņēmumiem, kā arī mājas lietotājiem. «Kaspersky Lab» ir starptautisks uzņēmums, kas darbojas gandrīz 200 pasaules valstīs un teritorijās; tā tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju visā pasaulē.
