L’evoluzione di Acecard

Durante la preparazione del nostro report “Evoluzione delle minacce informatiche nel terzo trimestre del 2015” abbiamo rilevato che, nel corso del periodo esaminato, l’Australia era entrata a far parte del novero dei paesi leader della speciale TOP-10 relativa alla quota percentuale di utenti sottoposti ad attacco da parte di Trojan-Banker per dispositivi mobili. Abbiamo così deciso di individuare la causa del cambiamento intervenuto; di fatto, siamo riusciti a determinarla: tutto dipendeva dall’attività condotta, in quel periodo, dai Trojan bancari appartenenti alla famiglia Trojan-Banker.AndroidOS.Acecard. A tale famiglia di malware potevano essere in pratica ricondotti quasi tutti gli attacchi informatici realizzati in Australia mediante l’utilizzo di banker mobile.

Dopo aver analizzato tutte le varianti di malware, a noi note, ascrivibili alla suddetta famiglia, abbiamo potuto stabilire che i software nocivi in causa attaccano un elevato numero di applicazioni, di vario genere. Spiccano, tra di esse, nove app ufficiali utilizzate nell’ambito dei social network, prese di mira dal Trojan allo scopo di realizzare il furto delle relative password. Due ulteriori applicazioni vengono poi attaccate dal Trojan con il preciso intento di carpire i dati sensibili inerenti alle carte di credito. L’elemento di maggior interesse è tuttavia costituito dalla presenza, in tale elenco, di quasi 50 applicazioni (programmi client in uso presso sistemi di pagamento e istituti bancari di primaria importanza) e servizi legati alla sfera finanziaria. Le varie versioni di Acecard ricorrono all’utilizzo di tutti gli strumenti nocivi a loro disposizione per condurre attacchi nei confronti delle app e dei servizi sopra citati; si va, in effetti, dal furto degli SMS inviati dalle banche ai propri clienti, alla sovrapposizione di messaggi di phishing sulle finestre dell’applicazione ufficiale.

Un ulteriore elemento di particolare rilevanza, emerso durante le indagini sul Trojan, è rappresentato dal fatto che abbiamo potuto determinare con esattezza come le varianti di Acecard siano state scritte dagli stessi cybercriminali che, in precedenza, avevano creato Backdoor.AndroidOS.Torec.a, il primo Trojan TOR destinato al sistema operativo Android, e Trojan-Ransom.AndroidOS.Pletor.a, il primo malware crittografico per piattaforme mobile. Tutti e tre i programmi Trojan qui sopra menzionati sono stati appositamente progettati per colpire l’OS Android.

Ecco come ha avuto inizio tutto quanto

Vista la crescente popolarità acquisita da Acecard ed il “ricco” passato criminale che contraddistingue i suoi autori, abbiamo deciso di esaminare in dettaglio la “storia” di questa famiglia di malware mobile.

Tutto è iniziato con Backdoor.AndroidOS.Torec.a. La prima versione di tale software malevolo, individuata nel mese di febbraio 2014, era in grado di eseguire i seguenti comandi, impartiti dal server C&C:

  • #intercept_sms_start – iniziare l’intercettazione degli SMS in entrata;
  • #intercept_sms_stop – terminare l’intercettazione degli SMS in entrata;
  • #ussd – creare una richiesta USSD;
  • #listen_sms_start – iniziare il furto degli SMS in entrata;
  • #listen_sms_stop – terminare il furto degli SMS in entrata;
  • #check – trasmettere al C&C i dati relativi al telefono (numero telefonico, paese, IMEI, modello, versione del sistema operativo);
  • #grab_apps – trasmettere al C&C l’elenco delle applicazioni installate nel dispositivo mobile;
  • #send_sms – inviare un SMS al numero specificato tramite l’apposito comando;
  • #control_number – cambiare il numero di controllo del telefono.

Successivamente, nel mese di aprile 2014, è comparsa sulla scena una nuova versione, dotata di maggiori funzionalità. In aggiunta ai “vecchi” comandi sono così apparsi:

  • #check_gps – inviare al C&C le coordinate del dispositivo;
  • #block_numbers – aggiungere numeri all’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • #unblock_all_numbers – cancellare l’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • #unblock_numbers – rimuovere determinati numeri dall’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • send_sms – inviare un SMS con l’ID del Trojan ad uno specifico numero telefonico.

Alla fine del mese di maggio 2014 è stato da noi individuato il primo malware crittografico per dispositivi mobili, ovvero Trojan-Ransom.AndroidOS.Pletor.a. Questo programma Trojan cifrava i file custoditi sul dispositivo, richiedendo poi all’utente-vittima il pagamento di un determinato importo per la decodifica degli stessi. Inoltre, alcune varianti di Pletor utilizzavano la rete TOR per comunicare con il proprio centro di comando e controllo (C&C).

Un mese dopo, abbiamo scoperto una nuova variante di Backdoor.AndroidOS.Torec. A differenza delle versioni precedenti, essa non faceva uso della rete TOR, e risultava orientata al furto dei dati sensibili inerenti alle carte di credito: nello specifico, il Trojan sovrapponeva una finestra di phishing, provvista di appositi campi per l’inserimento dei dati, alla schermata dell’app ufficiale di Google Play Store.

L'evoluzione di Acecard

Proprio a tale variante abbiamo assegnato il verdetto Trojan-Banker.AndroidOS.Acecard.a, classificando la stessa come una famiglia di malware distinta dalle altre. Da allora in poi, tutte le nuove versioni del Trojan sono state rilevate come malware appartenenti alla famiglia Acecard.

L’analisi e il successivo confronto tra i codici utilizzati per Backdoor.AndroidOS.Torec.a, Trojan-Ransom.AndroidOS.Pletor.a e Trojan-Banker.AndroidOS.Acecard.a hanno evidenziato come tali software nocivi fossero stati scritti, in pratica, dagli stessi identici cybercriminali. Ecco alcuni degli esempi più evidenti:

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor del programma Trojan Backdoor.AndroidOS.Torec.a

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor di Trojan-Banker.AndroidOS.Acecard.a

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor di Trojan-Ransom.AndroidOS.Pletor.a

Riportiamo, qui di seguito, un ulteriore esempio:

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor del programma Trojan Backdoor.AndroidOS.Torec.a

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor di Trojan-Banker.AndroidOS.Acecard.a

L'evoluzione di Acecard

Codice relativo alla classe SmsProcessor di Trojan-Ransom.AndroidOS.Pletor.a

Per ciò che riguarda questi tre programmi Trojan, sono state quindi rilevate numerose coincidenze a livello di nomi di classi, metodi e variabili. In genere, il codice relativo ai metodi corrispondenti coincide per intero, oppure presenta lievi variazioni, conservando tuttavia un marcato carattere di similarità.

La progressiva evoluzione di Acecard

Trojan-Banker.AndroidOS.Acecard.a, al momento della sua comparsa sulla scena del malware, era in grado di eseguire solo quattro comandi provenienti dal relativo C&C:

  • #intercept_sms_start – iniziare l’intercettazione degli SMS in entrata;
  • #intercept_sms_stop – terminare l’intercettazione degli SMS in entrata;
  • #send_sms – inviare un SMS al numero specificato tramite l’apposito comando;
  • #control_number – cambiare il numero di controllo del telefono.

La successiva variante di Acecard, individuata alla fine del mese di agosto 2014, si caratterizzava, in primo luogo, per il fatto di utilizzare, così come il ransomware Pletor, la rete TOR, relativamente alle comunicazioni intrattenute con il proprio centro di comando e controllo. Oltre a questo, tuttavia, abbiamo rilevato, in tale versione, due ulteriori tratti distintivi, di particolare interesse. Innanzitutto, la nuova variante del Trojan Acecard aveva esteso sino a 15 il numero dei comandi supportati; quasi tutti i comandi da essa eseguiti, ad ogni caso, erano stati rilevati, in precedenza, nelle prime versioni del malware mobile Torec:

  • #intercept_sms_start – iniziare l’intercettazione degli SMS in entrata;
  • #intercept_sms_stop – terminare l’intercettazione degli SMS in entrata;
  • #ussd – creare una richiesta USSD;
  • #check_gps – inviare al C&C le coordinate del dispositivo;
  • #block_numbers – aggiungere numeri all’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • #unblock_all_numbers – cancellare l’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • #unblock_numbers – rimuovere determinati numeri dall’elenco relativo ai mittenti i cui SMS verranno intercettati;
  • #listen_sms_start – iniziare il furto degli SMS in entrata;
  • #listen_sms_stop – terminare il furto degli SMS in entrata;
  • #check – inviare al C&C l’ID del Trojan;
  • #grab_apps – trasmettere al C&C l’elenco delle applicazioni installate nel dispositivo mobile;
  • #send_sms — inviare un SMS al numero specificato tramite l’apposito comando;
  • #control_number – cambiare il numero di controllo del telefono;
  • #sentid – inviare un SMS con l’ID del Trojan ad uno specifico numero telefonico;
  • #show_dialog – mostrare all’utente una finestra di dialogo, con oggetti specifici (campi per l’inserimento di dati, pulsanti, etc.), in base ai parametri del comando ricevuto dal С&C.

Il secondo elemento di distinzione, rispetto alla prima versione di Acecard, era poi costituito dalla presenza di un numero decisamente maggiore di finestre di phishing. La nuova variante del Trojan, in effetti, sovrapponeva le proprie finestre, oltre che sull’app ufficiale di Google Play Store, anche sulle schermate del dispositivo mobile relative alle seguenti applicazioni:

  • Servizi di messaggistica istantanea WhatsApp, Viber, Instagram, Skype

L'evoluzione di Acecard

  • App inerenti ai social network VKontakte, Odnoklassniki, Facebook

L'evoluzione di Acecard

  • Client di posta elettronica Gmail

L'evoluzione di Acecard

  • Client ufficiale di Twitter

L'evoluzione di Acecard

Nella seconda metà del mese di ottobre 2014 veniva da noi individuata la successiva variante di Acecard. Essa non utilizzava più la rete TOR, così come avrebbero fatto, in seguito, le versioni successive del Trojan. La differenza fondamentale, rispetto alla variante rilevata nel precedente mese di agosto, era tuttavia rappresentata da un altro elemento, di maggior rilievo: proprio a partire dalla versione di ottobre, in effetti, cambiava drasticamente la “geografia” relativa alle aree di diffusione del Trojan. Mentre le precedenti versioni di Acecard attaccavano prevalentemente gli utenti russi, a partire dal mese di ottobre 2014 la maggior parte degli attacchi informatici sferrati dal Trojan in questione risulterà diretta agli utenti mobile situati sul territorio di Australia, Germania e Francia; nella circostanza, la quota attribuibile alla Russia si attesterà su un valore non superiore al 10% del numero complessivo di utenti sottoposti ad attacco. Questa specifica tendenza proseguirà, ad ogni caso, soltanto nei quattro mesi successivi, sino a febbraio 2015; Australia, Germania e Francia continueranno tuttavia a far parte del novero dei paesi più frequentemente presi di mira da Acecard.

La geografia relativa agli attacchi portati attraverso i malware appartenenti alla famiglia Pletor, invece, è rimasta sostanzialmente invariata: la maggior parte degli assalti informatici condotti mediante l’utilizzo di tale ransomware ha continuato infatti a colpire gli utenti ubicati entro i confini della Federazione Russa e degli USA. Completano la ТОР-5 relativa ai paesi maggiormente sottoposti ad attacco da parte del malware crittografico Pletor le seguenti nazioni: Ukraina, Bielorussia e Arabia Saudita.

Verso la metà del mese di novembre 2014, poi, ha fatto la sua apparizione un’ulteriore variante di Acecard, la quale, oltre a realizzare il furto delle password relative ai programmi client di popolari social network, ha iniziato a sovrapporre la propria finestra di phishing all’applicazione di banking online di uno dei più noti istituti bancari australiani. A distanza di soli due giorni, siamo riusciti ad individuare un’altra variante di tale Trojan, preposta ad attaccare le app di Internet banking relative a ben quattro banche australiane.

L'evoluzione di Acecard

L'evoluzione di Acecard

Questa specifica funzionalità è stata di fatto mantenuta sino alle ultimissime versioni, da noi rilevate, dei programmi malware appartenenti alla famiglia Trojan-Banker.AndroidOS.Acecard.

La variante di Acecard qui sopra descritta, una volta lanciata, provvede a controllare il codice del paese e il codice dell’operatore di telefonia mobile (SIM provider’s country code); se risulta che il paese in questione è la Russia, il Trojan non entra in azione. Questo genere di verifica, in seguito, verrà adottato su quasi tutte le varianti di Acecard. È interessante rilevare come, per quel che riguarda Trojan-Ransom.AndroidOS.Pletor, tali cambiamenti siano comparsi solo alla fine del mese di marzo 2015, e non in tutte le versioni del ransomware.

Nel corso dei successivi nove mesi, le funzionalità presenti nelle nuove versioni di Acecard sono rimaste sostanzialmente invariate, finché, all’inizio di agosto 2015, abbiamo individuato una nuova versione del Trojan, in grado di sovrapporre la propria finestra di phishing all’app mobile di PayPal.

L'evoluzione di Acecard

Inoltre, questa nuova variante risultava provvista di un nuovo comando – #wipe. In pratica, una volta ricevuto tale comando, Acecard provvede a ripristinare le impostazioni di fabbrica sul dispositivo mobile sottoposto ad attacco.

Occorre sottolineare come, a partire dal mese di giugno 2015, il livello di attività dimostrato dagli sviluppatori di Acecard sia sensibilmente aumentato. In effetti, mentre in precedenza eravamo in grado di identificare, ogni mese, dai 2 ai 5 file riguardanti il suddetto Trojan, dallo scorso mese di giugno in poi abbiamo individuato all’incirca 20 file al mese.

L'evoluzione di Acecard

Numero di file dannosi rilevati mensilmente

Il grafico qui sopra inserito si riferisce sia alle varianti del Trojan bancario Acecard da noi scoperte, sia ai file malevoli ad esse associati, quali, ad esempio, i relativi Trojan-Downloader. Il repentino aumento del numero dei file rilevati nel mese di novembre, e in special modo nel successivo mese di dicembre, è dovuto all’utilizzo particolarmente attivo, da parte dei malintenzionati, di un offuscatore “commerciale” del codice, e dalla comparsa di versioni offuscate del Trojan.

In questo periodo dell’anno 2015 è stato ugualmente riscontrato un sensibile aumento del numero degli attacchi informatici condotti mediante l’utilizzo del malware mobile in causa.

L'evoluzione di Acecard

Numero di utenti unici attaccati, ogni mese, da Acecard

Nella prima metà dello scorso mese di settembre è stata da noi individuata una nuova variante di Acecard. Le nuove funzionalità presenti nel Trojan includevano la sovrapposizione di finestre malevole sulle app mobile di ulteriori banche, ovvero un istituto bancario australiano, quattro banche neozelandesi e tre tedesche.

acecard_evo_it_17

L'evoluzione di Acecard

Questa nuova versione, quindi, è in grado di inserire le proprie finestre di phishing sulle schermate di 20 applicazioni diverse; 13 di esse sono app utilizzate nella sfera bancaria.

La successiva evoluzione del “banking business” condotto dal Trojan Acecard si è rivelata essere ancor più rapida:

  • La versione seguente, comparsa soltanto alcuni giorni dopo, sovrapponeva le proprie finestre malevole a ben 20 applicazioni di Internet banking. L’elenco delle app prese di mira si estendeva così ad un’ulteriore app appartenente ad una banca australiana, a quattro applicazioni relative ad istituti di credito di Hong Kong e a tre app utilizzate dai clienti di banche austriache.
  • Alla fine di settembre veniva rilevata l’ennesima variante del Trojan, provvista di una nuova funzionalità: il malware conteneva, in effetti, un elenco di numeri telefonici di istituti bancari; gli SMS provenienti da tali banche sarebbero stati così rediretti al cybercriminale in agguato. Inoltre, il Trojan era stato dotato di un apposito elenco di frasi, in maniera tale da poter analizzare e comparare i messaggi di testo in entrata, allo scopo di identificare gli SMS provvisti di codici segreti, codici abitualmente utilizzati dai clienti delle banche per confermare le transazioni finanziarie o le registrazioni effettuate; nella circostanza, il malware avrebbe provveduto ad inviare ai malfattori soltanto il codice contenuto nel messaggio, anziché l’intero SMS. Questa variante di Acecard è in grado di intercettare gli SMS provenienti da 17 istituti bancari russi.
  • All’inizio del successivo mese di ottobre, ha poi visto la luce una nuova versione del Trojan, la quale, di fatto, attaccava le app di Internet banking relative a tre banche statunitensi di primaria importanza. È interessante notare come gli Stati Uniti siano entrati a far parte, sin dagli inizi, della TOP-10 dei paesi più frequentemente sottoposti ad attacco da parte di tale malware mobile; solo nel mese di dicembre 2015, tuttavia, si è registrato un repentino aumento del numero degli attacchi diretti agli utenti americani. Nell’ultimo mese dello scorso anno, gli USA sono così divenuti il terzo paese in termini di utenti unici complessivamente attaccati da Acecard.
  • A metà ottobre è comparsa un’ulteriore nuova variante, in grado di sovrapporsi a ben 24 app legate alla sfera finanziaria. Di tali applicazioni, cinque riguardavano banche australiane; quattro a testa, rispettivamente, istituti bancari di Hong Kong, Nuova Zelanda e Austria; tre applicazioni, poi, erano relative a banche tedesche, così come a banche di Singapore. La nuova versione del Trojan, infine, era destinata a colpire anche l’app mobile di PayPal.
  • All’inizio del mese di novembre veniva rilevata ancora una nuova variante, nella quale comparivano finestre di phishing preposte ad attaccare applicazioni di banking online in uso presso utenti spagnoli.

Desideriamo ugualmente sottolineare come, in pratica, quasi tutte le varianti di Acecard presentino un ulteriore comando, di particolare rilevanza: in effetti, una volta ricevuto tale “ordine”, il Trojan sovrappone la propria finestra malevola a qualsiasi applicazione venga espressamente indicata dai cybercriminali. Con ogni probabilità, i malintenzionati hanno ritenuto tale opzione particolarmente conveniente, visto che la maggior parte delle varianti di Acecard individuate nei mesi di novembre e dicembre 2015 è poi risultata provvista di apposite finestre malevole “dedicate” esclusivamente alle applicazioni Google Play e Google Music, con il preciso intento di realizzare il furto dei dati sensibili relativi alle carte di credito degli utenti-vittima. In tal modo, nessun’altra applicazione viene immediatamente attaccata, senza aver prima ricevuto il relativo comando proveniente dal server C&C.

1779_Infographics_Acecard_Map

Al momento attuale, i “rappresentanti” della famiglia Acecard comparsi più di recente sulla scena del malware mobile possono in sostanza attaccare le applicazioni client relative ad oltre 30 banche e sistemi di pagamento online. Tuttavia, considerando che questi programmi Trojan sono provvisti di un’apposita funzionalità che permette loro di sovrapporsi a qualsiasi app, su comando diretto impartito dal malintenzionato di turno, il numero complessivo delle applicazioni di natura finanziaria potenzialmente sottoposte ad attacco può risultare sensibilmente superiore.

Nonostante i software nocivi appartenenti alla suddetta famiglia siano in grado di attaccare gli utenti mobile ubicati in tutti i paesi del globo, la maggior parte degli assalti condotti attraverso il Trojan Acecard si verifica sul territorio di Russia, Australia, Germania, Austria e Francia.

L'evoluzione di Acecard

Numero di utenti unici sottoposti ad attacco nei paesi sopra indicati

In Germania e in Australia, la famiglia Trojan-Banker.AndroidOS.Acecard è il tipo di mobile banker in assoluto più diffuso, tra quelli che attaccano, attualmente, gli utenti situati in tali paesi.

Modalità di diffusione

In molti paesi, i Trojan appartenenti alla famiglia Acecard vengono abitualmente distribuiti sotto i nomi fasulli di Flash Player o PornoVideo, sebbene i malintenzionati facciano uso, talvolta, anche di ulteriori nomi, del tutto simili a quelli utilizzati per programmi di indubbia utilità o per applicazioni particolarmente popolari. I software dannosi riconducibili a tale famiglia vengono inoltre diffusi attraverso appositi Trojan-Downloader, rilevati dai prodotti Kaspersky Lab come Trojan-Downloader.AndroidOS.Acecard.

Evidenziamo, a tal proposito, come il 28 dicembre scorso sia stata da noi individuata una versione del Trojan-Downloader preposto alla distribuzione di Acecard – classificata con la denominazione di Trojan-Downloader.AndroidOS.Acecard.b – all’interno del negozio ufficiale di applicazioni Google Play Store.

L'evoluzione di Acecard

Pagina del malware Trojan-Downloader.AndroidOS.Acecard.b in Google Play Store

Come si può vedere nello screenshot qui sopra inserito, il Trojan viene camuffato sotto forma di gioco; l’applicazione fasulla, in realtà, non è provvista di alcuna funzionalità utile. Lo scopo principale dell’app malevola consiste nel generare il download e la successiva installazione, sul dispositivo-vittima, di una variante del Trojan bancario Acecard, dotata dell’intera gamma di funzionalità nocive di cui si avvale il malware in questione. Nella circostanza, i malfattori non si sono nemmeno preoccupati di conferire un aspetto di apparente legittimità all’applicazione da essi creata; in effetti, una volta installato il malware dallo store Google Play, l’utente non visualizzerà sul proprio schermo l’attesa icona del gioco, bensì un’icona di Adobe Flash Player.

1779_Infographics_Acecard_Timeline

Siamo inoltre riusciti a individuare una nuova variante del suddetto Trojan-Downloader, ovvero Trojan-Downloader.AndroidOS.Acecard.c. Essa si caratterizza per il fatto che il Trojan, una volta lanciato, sfrutta le eventuali vulnerabilità presenti nel sistema, allo scopo di ottenere i diritti di superutente. Acquisiti tali privilegi, Trojan-Downloader.AndroidOS.Acecard.c è in grado di installare il Trojan bancario Acecard nella relativa cartella di sistema; questo rende di fatto impossibile la rimozione del malware mediante l’utilizzo di strumenti standard. Ricordiamo, con l’occasione, che, nella maggior parte dei casi, questo singolare metodo di propagazione viene ugualmente utilizzato per distribuire un altro programma Trojan per dispositivi mobili, già ampiamente noto: si tratta del malware crittografico Trojan-Ransom.AndroidOS.Pletor.

Come abbiamo visto, i cybercriminali si avvalgono, in pratica, di ogni possibile metodo esistente, allo scopo di diffondere il banker Acecard: mascherando quest’ultimo in veste di altri programmi; tramite app store ufficiali, oppure attraverso l’utilizzo di ulteriori programmi Trojan. Questa particolare combinazione di modalità di diffusione, che include anche lo sfruttamento delle vulnerabilità individuate nel sistema operativo, sommata alle sofisticate funzionalità di cui è provvisto Acecard, rende tale banker mobile una delle minacce in assoluto più pericolose per gli utenti.

MD5

58FED8B5B549BE7ECBFBC6C63B84A728
8D260AB2BB36AEAF5B033B80B6BC1E6A
CF872ACDC583FE80B8F54957E14355DF
FBBCCD640CE75BD618A7F3187EC1B742
01E8CEA7DF22B1B3CC560ACB049F8EA0
DDCE6CE143CCA26E59063E7A4BB89019
9D34FC3CFCFFEA760FC1ADD377AA626A
03DA636518CCAF432AB68B269F7E6CC3
05EBAA5C7FFA440455ECB3519F923B56
E3FD483AD3731DD62FBE027B4E6880E6
53888352A4A1E3CB810B2A3F51D0BFC2
E1C794A614D5F6AAC38E2AEB77B139DA
54332ED8EA9AED12400A75496972D7D7
5DB57F89A85F647EBBC5BAFBC29C801E
702770D70C7AAB793FFD6A107FD08DAD
CF25782CAC01837ABACBF31130CA4E75
07DF64C87EA74F388EF86226BC39EADF
F61DB995F5C60111C9656C2CE588F64F

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *