Parece que agora existe um cenário típico para a evolução do malware. Primeiramente, os cibercriminosos lançam um esqueleto com funções básicas – aquele malware se comporta de maneira silenciosa, quase sem apresentar atividade maliciosa. Normalmente, ele chega à vista de várias empresas de antivírus logo após seu lançamento, mas os pesquisadores o tratam como mais um pedaço de código potencialmente malicioso: nada de particular interesse.
Depois de algum tempo, o trojan (sim, geralmente é um trojan) obtém funcionalidade adicional e torna-se capaz de causar muito mais danos do que a primeira versão poderia. Durante a terceira etapa, a campanha de ataque massivo começa: milhares de dispositivos são infectados e então o trojan faz seu trabalho sujo. A quantidade de dano causado depende do tipo de trojan – pode ser um ransomware que pede até várias centenas de dólares ou um trojan bancário roubando tudo o que puder de seus cartões de crédito, ferramenta de espionagem em você.
Por exemplo, esse foi o cenário exato para o Asacub , que primeiro surgiu como um programa de phishing bastante simples e depois se tornou um banqueiro com capacidades de uma arma pesada. E agora a Acecard seguiu um caminho semelhante. Este malware parece ser uma má notícia ainda mais séria do que o Asacub.
Acecard é uma família de cavalos de Troia bancários Android que consiste em várias modificações do mesmo cavalo de Troia. Como a maioria dos cavalos de Troia bancários, ele funciona sobrepondo os aplicativos de mobile banking com seus próprios formulários de phishing que o usuário desavisado estaria ansioso para preencher com seus dados de cartão de crédito. Assim que um usuário pressiona ‘Enviar’ (ou ação semelhante), os dados são roubados e os malfeitores encaminham o dinheiro do cartão para suas contas falsas ou vendem os dados a terceiros.
A Acecard se destaca da multidão por dois motivos principais. Em primeiro lugar, os cavalos de Troia de banco comum geralmente são capazes de sobrepor não mais do que alguns aplicativos de banco móvel, enquanto o Acecard está familiarizado com cerca de 30 bancos e sistemas de pagamento diferentes. O Acecard também pode receber um comando do servidor de comando e controle para sobrepor QUALQUER aplicativo, de modo que a quantidade de aplicativos atacados pode ser ainda maior.
Em segundo lugar, ele não se limita apenas a aplicativos bancários. O Acecard também pode ser usado para phishing em aplicativos de redes sociais móveis (Facebook, Twitter, Instagram), mensageiros instantâneos (WhatsApp, Viber, Skype) e, mais curiosamente, no aplicativo PayPal e no cliente Gmail. Também cabe sobrepor a Google Play Store e o Google Play Music com janelas de phishing.
Acecard é distribuído não pelo spam usual de e-mail, mas disfarçando-se como algo potencialmente útil; por exemplo, fingindo ser o Adobe Flash. Aqui, gostaríamos de lembrar que o Flash para Android foi descontinuado em 2012, então NÃO há Flash Player genuíno para Android hoje em dia. Mas esse não é o único canal de distribuição – nossos pesquisadores encontraram um trojan que baixa o Acecard na Google Play Store.
Pela primeira vez, o Acecard foi detectado em fevereiro de 2014 – e naquela época, como mencionamos antes, ele não apresentava atividade maliciosa. Os cibercriminosos levaram cerca de um ano e meio para ajustar o Acecard à ameaça real, adicionando novas funções de uma versão para a próxima. Nossos especialistas detectaram mais de 10 versões diferentes desse malware, cada nova construção ganhando mais e mais habilidades maliciosas.
E então, em maio de 2015, os ataques começaram. Durante o intervalo de tempo de maio a setembro de 2015, mais de 6.000 usuários foram atacados. O Acecard é o único responsável por um grande aumento no número de ataques cibernéticos a bancos na Austrália. Suas outras vítimas residem principalmente na Rússia, Alemanha, Áustria e França. Enquanto isso, os cibercriminosos por trás do Acecard provavelmente falam russo.
Para se proteger contra Acecard e outros do seu tipo, sugerimos que você faça o seguinte:
Preste atenção aos aplicativos que você instala. Por exemplo, Acecard não mostra nada além do logotipo do Flash Player durante a execução, mas esse é o momento perfeito para lembrar que não existe mais o Android Flash Player.
Não baixe aplicativos de lojas não oficiais e, mesmo se estiver usando uma loja oficial, não baixe aplicativos que você não confia e realmente não precisa. Os hackers podem contornar a segurança do Google Play e seu novo aplicativo de papel de parede de gatinhos pode estar infectado.
