Apps von über 30 Banken betroffen
Die bereits Anfang 2014 erstmals identifizierte Malware attackierte im Zeitraum Mai bis Dezember 2015 über 6.000 Kunden. Schwerpunkte waren neben Australien die Länder Russland, Deutschland, Österreich und Frankreich. Bislang sind den Experten von Kaspersky Lab über zehn Varianten bekannt, die ihre schädliche Wirkung jeweils noch verstärken konnten.
Die Trojaner der Acecard-Familie bedienen sich aller derzeit bekannten Möglichkeiten. Sie überlagern zum Beispiel offizielle Apps mit eigenen Fenstern, um so an die Anmeldedaten der Nutzer zu gelangen. Betroffen sind Apps von über 30 Banken und Bezahlsystemen. Außerdem ist der Trojaner in der Lage, auf Kommando jede weitere Applikation mit eigenen Fenstern zu überlagern, so dass die tatsächliche Zahl der attackierten Finanz-Apps weit höher liegen dürfe.
Mobile Malware Acecard eine der bisher größten bekannten Gefahren
Dazu erläutert Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab:
„Die für Acecard verantwortlichen Cyberkriminellen verbreiten ihren Banktrojaner unter dem Deckmantel anderer Applikationen, über offizielle App-Stores und im Schlepptau weiterer Trojaner“
„Darüber hinaus kann die Schadsoftware viele und bekannte offizielle Apps überlagern. Diese Kombination macht aus der mobilen Malware Acecard eine der größten Gefahren, die wir derzeit kennen.“
Betroffen sind auch WhatsApp-, Facebook- und Google-Play-Nutzer
Neben Banking-Apps richtet sich Acecard mit seinen Phishing-Fenstern auch gegen:
- Bekannte Messaging-Dienste (unter anderem auch WhatsApp)
- Soziale Netzwerke (wie Facebook und Twitter)
- Gmail,
- PayPal
- Google Play
- Google Music
Acecard gelangt via Download unter dem Deckmantel anderer Apps auf die Android-Geräte der Anwender - unter anderem getarnt als Flash-Player- oder PornVideo-App. Am 28. Dezember 2015 fanden die Experten von Kaspersky Lab die Version Trojan-Downloader.AndroidOS.Acecard.b bei Google Play im offiziellen Angebot, getarnt als Spiel. Nach dem Download können Anwender den Trojaner nicht als solchen erkennen, da er sich hinter dem bekannten Icon von Adobe Flash Player versteckt.
Wer sind die Hintermänner
Die Kaspersky-Experten vermuten ausgehend von der Handschrift der Malware und die von ihr genutzten Command-and-Control-Server (C&C), dass für Acecard jene vermutlich russisch-sprachige, erfahrene Gruppe von Cyberkriminellen verantwortlich ist, die bereits hinter dem ersten TOR-Android-Trojaner Backdoor.AndroidOS.Torec.a und der ersten mobilen Ransomware Trojan-Ransom.AndroidOS.Pletor.a steckte.
Kaspersky Lab empfiehlt:
keine zweifelhaften Apps von Google Play oder anderen Quellen herunterzuladen, verdächtige Webseiten und Links zu meiden, sowie alle mobilen Android-Geräte mit einer Schutzlösung wie Kaspersky Internet Security for Android auszurüsten sowie die zugehörigen Antivirus-Datenbanken immer aktuell zu halten.