Acecard

Description de Acecard

Acecard est une famille de chevaux de Troie bancaires mobiles qui a affiché un taux d'évolution remarquable dans une période relativement courte après sa première découverte. Le développement rapide peut s'expliquer par le fait que les pirates derrière Acecard avaient déjà été impliqués dans deux précédentes menaces de logiciels malveillants mobiles - Backdoor.AndroidOS.Torec.a, le premier cheval de Troie TOR pour Android et Trojan-Ransom.AndroidOS.Pletor.a, le premier ransomware pour les appareils mobiles. La preuve que toutes les menaces ont été engendrées par le même groupe de hackers peut être trouvée dans le chevauchement de code significatif, ainsi que dans les noms de classe, de méthode et de variable identiques. Les trois menaces ciblent les appareils Android.

Au cours de son activité, Acecard a changé presque toutes ses caractéristiques. Le cheval de Troie a commencé comme un collecteur d'informations d'identification à partir de diverses applications de médias sociaux, mais a évolué pour inclure des applications bancaires de nombreux pays. Dans le même temps, la géolocalisation des utilisateurs ciblés a considérablement divergé, les quatre pays les plus touchés par la menace étant la Russie, l'Australie, l'Allemagne et la France. Pendant une certaine période, les États-Unis étaient le troisième pays le plus touché.

Extension d'un ensemble de commandes menaçantes

Au début de la famille Acecard, la menace avait une fausse fenêtre de superposition uniquement pour le Google Play Store et ne pouvait gérer que quatre commandes reçues du serveur Command-and-Control (C&C, C2):

  • Lancer l'interception par SMS
  • Arrêter l'interception par SMS
  • Envoyer un SMS à un numéro déterminé fourni par le serveur C&C
  • Modifier le numéro de contrôle de l'appareil compromis

Dans la toute prochaine itération, cependant, les criminels avaient déjà étendu la gamme de commandes disponibles à 15, y compris la collecte de messages SMS, la saisie d'une liste des applications installées et l'exfiltration des coordonnées de l'appareil. D'autres changements majeurs ont été l'utilisation du réseau TOR pour la communication avec le C&C, et une augmentation significative des fenêtres de phishing qui pourraient désormais superposer WhatsApp, Viber, Instagram, Skype, VKontakte, Odnoklassniki, Facebook, Gmail et l'application Twitter.

Ensuite, les pirates ont porté leur attention sur l'Australie en incluant une superposition de phishing pour la banque la plus populaire du pays. Dans le même temps, le réseau TOR n'était plus utilisé pour la communication C&C. Dans une version détectée à peine deux jours plus tard, Acecard était désormais capable de collecter les informations d'identification de quatre banques australiennes. Cette version l'est également pour la première fois dans l'inclusion d'un mécanisme de géo-restriction introduit dans la famille de menaces. Acecard a vérifié le code du pays et le code du fournisseur de services de l'appareil infecté, et s'ils correspondaient à la Russie, le malware a mis fin à son exécution.

Après quelques mois de baisse d'activité, les hackers étaient de retour avec une nouvelle version équipée d'une fausse superposition de connexion PayPal. Une nouvelle commande a également été ajoutée qui, lorsqu'elle est invoquée, réinitialise l'appareil de la victime aux paramètres d'usine. La prochaine version d'Acecard a montré l'intérêt des pirates pour étendre leur portée en incluant des fenêtres de phishing pour quatre banques néo-zélandaises et trois banques allemandes. À ce stade, Acecard avait de faux superpositions pour 20 applications différentes, dont 13 étaient des banques. Cependant, cela n'était pas suffisant pour les criminels, et ils ont poussé le développement de la menace à l'overdrive - dans plusieurs versions ultérieures d'Acecard, des superpositions pour plus de banques en Australie ont été ajoutées, ainsi que de nouvelles cibles de Honk Kong, en Autriche, les trois les plus grandes banques des États-Unis, trois banques singapouriennes et enfin une banque espagnole. De nouvelles fonctionnalités ont également été introduites, telles que la capacité de la menace à transférer les e-mails entrants de banques spécifiques directement vers les criminels. Plus tard, cette capacité a été affinée et, au lieu de l'intégralité du SMS, Acecard ne transmettait plus que les codes de vérification ou d'enregistrement.

Acecard se présente comme des applications populaires pour la propagation

Pour inciter les utilisateurs à installer le traitement Acecard, les pirates ont utilisé presque toutes les méthodes connues. Ils ont distribué le malware sous le couvert d'un lecteur Flash ou d'une vidéo porno, ont prétendu être d'autres applications utiles ou populaires et ont même utilisé un cheval de Troie dropper. Ce compte-gouttes se faisait passer pour une application de jeu, mais presque aucun effort n'a été fait pour créer un déguisement plus crédible. En fait, immédiatement après l'installation, il créerait simplement une icône Adobe Flash sur le périphérique infecté. Le cheval de Troie compte-gouttes réussissait toujours à contourner les mesures de sécurité du Google Play Store officiel et était disponible au téléchargement avant d'être retiré.

Une autre version du cheval de Troie dropper était équipée de capacités d'exploitation des vulnérabilités. En conséquence, il pourrait élever ses privilèges au niveau du super-utilisateur et ensuite fournir la charge utile du logiciel malveillant Acecard directement dans le dossier système et l'empêcher d'être supprimé par l'utilisateur concerné.