Acecard el troyano bancario más peligroso de todos los tiempos en Android

Acecard el troyano bancario más peligroso de todos los tiempos en Android
  • Acecard :el troyano más peligroso para usuarios de más de 30 aplicaciones para transacciones bancarias y pagos en Android.

Kaspersky Lab detectó uno de los troyanos de transacciones bancarias más peligrosos jamás vistos en Android. Se trata del malware Acecard, capaz de atacar a los usuarios de casi 50 aplicaciones y servicios financieros en línea y puede eludir las medidas de seguridad de la tienda Google Play.

En 2015 se detectó un aumento inusual en el número de ataques contra las transacciones bancarias móviles en Australia. Parecía sospechoso y pronto se descubrió que la razón principal de este aumento era un solo troyano bancario: Acecard.

Acecard agrupa casi toda la funcionalidad del software malicioso que existe actualmente, desde robar mensajes de texto y de voz de un banco hasta superponer ventanas de aplicaciones oficiales con mensajes falsos que simulan la página oficial de inicio de sesión, en un intento de robar la información personal y los detalles de las cuentas.

Las versiones más recientes de Acecard pueden atacar aplicaciones para clientes de unos 30 bancos y sistemas de pago. Si consideramos que este troyano es capaz de superponerse a cualquier aplicación, el número de aplicaciones financieras vulneradas puede ser mayor.

Además de las aplicaciones bancarias, Acecard puede superponer ventanas de phishing en las siguientes aplicaciones:

  • Servicios de mensajería instantánea (IM): WhatsApp, Viber, Instagram y Skype
  • Redes sociales: VKontakte, Odnoklassniki, Facebook y Twitter
  • El cliente de Gmail
  • La aplicación móvil de PayPal
  • Google Play y las aplicaciones de Google Music

Infographics_Acecard_Map
Acecard fue detectado por primera vez en febrero de 2014, y durante un largo periodo no mostró signos de actividad maliciosa. Pero en 2015, se detectó un aumento en los ataques; en el periodo comprendido de mayo a diciembre de 2015, más de 6,000 usuarios fueron atacados con este troyano. Durante dos años de observación se registraron más de 10 nuevas versiones de este programa malicioso, cada una con una lista de funciones dañinas mucho más larga que la precedente.

Regularmente los dispositivos móviles adquieren la infección tras de bajar una aplicación maliciosa que se hace pasar por legítima. Las versiones de Acecard se distribuyen normalmente como Flash Player o PornoVideo, aunque a veces se usan otros nombres que imitan programas populares.

Pero esta no es la única forma en que este malware se distribuye. El 28 de diciembre de 2015, los expertos de Kaspersky Lab detectaron una versión descargable del troyano Acecard, la Trojan-Downloader.AndroidOS.Acecard.b, en la tienda oficial de Google Play. El troyano se propaga bajo la apariencia de un juego. Cuando el malware se instala desde Google Play, sólo se verá un icono de Adobe Flash Player en la pantalla del escritorio y ninguna señal real de la aplicación instalada.

Mirando a fondo el código del malware, los expertos de Kaspersky Lab se inclinan a pensar que Acecard fue creado por el mismo grupo de cibercriminales responsables del primer troyano TOR para Android, Backdoor.AndroidOS.Torec.a y del primer programa de cifrado y ransomware móvil Trojan-Ransom.AndroidOS.Pletor.a.

Infographics_Acecard_Timeline

La evidencia de esto se basa en líneas de código similares (nombres de métodos y clases) y en el uso de los mismos servidores C & C (Command and Control). Esto demuestra que Acecard fue hecho por un grupo de criminales poderosos y experimentados, probablemente rusos.

Como prevenir la infección con Acecard:

  • No bajar ni instalar aplicaciones desde Google Play o fuentes internas si no son de confianza o se pueden tratar como tales
  • No visitar páginas web sospechosas con contenido específico ni hacer clic en enlaces sospechosos
  • Instalar una solución de seguridad fiable en los dispositivos móviles, como Kaspersky Internet Security para Android
  • Asegurarse de que las bases de datos antivirus están al día y funcionando correctamente
Share via