Acecard: un as en la manga

22 Feb 2016

Parece que se ha formado un patrón en la evolución del malware. En primer lugar, los cibercriminales lanzan una estructura con funciones básicas, una pieza de malware con un comportamiento silencioso que no muestra apenas actividad maliciosa. Por lo general, algunas compañías antivirus la detectan poco después de su lanzamiento, pero los investigadores la tratan como otro segmento de código potencialmente malicioso: nada especial.

acecard-banking-trojan-featured

Tras un tiempo, el troyano (sí, por lo general suele ser un troyano) consigue nuevas funcionalidades, causando mucho más daño que en su primera versión. Durante la tercera etapa empieza la campaña de ataques masivos: se produce la infección de miles de dispositivos y, seguidamente, el troyano hace el trabajo sucio. La cantidad de daño infligido depende del tipo de troyano del que se trate, puede tratarse de un ransomware que pida una recompensa de cientos de dólares, un troyano bancario que robe todo lo que pueda obtener de tus tarjetas de crédito, una herramienta de espionaje, etc.

Por ejemplo, eso fue exactamente lo que ocurrió en el caso de Asacub, que surgió en sus inicios como un simple programa de phishing y, más tarde, se convirtió en un peligroso troyano bancario. Y Acecard ha seguido el mismo camino. Este malware parece ser aún más grave que Asacub.

Acecard es un troyano bancario de la familia de Android y está formado por las diferentes modificaciones de un mismo troyano. Como ocurre con la mayoría de los troyanos bancarios, se realiza al suplantar las aplicaciones de banca móvil con sus propias aplicaciones de phishing, haciendo que el usuario rellene, sin ser consciente, los formularios que aparecen en estas últimas con los datos de su tarjeta de crédito. Cuando el usuario presiona “Enviar” (o una acción similar), los malhechores roban sus datos y, o transfieren el dinero de la cuenta del usuario a una cuenta propia o venden sus datos a un tercero.

Acecard se destaca por dos razones principales. En primer lugar, los troyanos bancarios comunes solo suelen ser capaces de suplantar unas pocas aplicaciones de banca móvil, sin embargo, Acecard está familiarizado con cerca de 30 bancos y sistemas de pago diferentes. Acecard también puede recibir una orden del servidor de mando y control para suplantar cualquier aplicación, por lo que la cantidad de aplicaciones atacadas puede ser aún mayor.

En segundo lugar, no se limita solo a las aplicaciones bancarias. Acecard también puede utilizarse realizar ataques de phishing en las aplicaciones móviles de las redes sociales (Facebook, Twitter, Instagram), en mensajería instantánea (Whatsapp, Viber, Skype), y, aún más interesante, en la aplicación de PayPal y en Gmail. También intenta suplantar Google Play Store y Google Play Music con ventanas de phishing.

 

Acecard tiene miles de “caras”

Acecard no se distribuye mediante spam, sino que se hace pasar por algo que podría ser útil para el usuario; por ejemplo, Adobe Flash. Aprovechamos la ocasión para recordarte que Flash para Android se suspendió en 2012, por lo que, a día de hoy, no hay una versión legítima de Flash Player para Android. Pero este no es su único canal de distribución, nuestros investigadores han descubierto un troyano que descarga Acecard en Google Play Store.

Acecard fue detectado por primera vez en febrero de 2014, y entonces, como ya hemos dicho, no mostraba signos de actividad maliciosa. Los cibercriminales tardaron alrededor de un año y medio en hacer que Acecard supusiera una amenaza real, añadiendo nuevas funciones de una versión a otra. Nuestros expertos han detectado más de 10 versiones diferentes de este malware, ganando en cada una de ellas más habilidades maliciosas. Las versiones más recientes de Acecard son tan poderosas que Roman Unucheck, experto en el análisis de malware de Kaspersky Lab, lo ha definido como “una de las mayores amenazas para los usuarios a día de hoy”.

Y, en mayo de 2015, empezaron los ataques. Entre mayo y septiembre de 2015, más de 6.000 usuarios fueron atacados. Acecard es el único responsable del enorme aumento del número de ciberataques bancarios en Australia; el resto de sus víctimas residen en su mayoría en Rusia, Alemania, Austria y Francia. Sin embargo, se sospecha que los cibercriminales responsables de Acecard sean rusoparlantes.

Para protegerte frente a los ataques de Acecard y otros similares, te recomendamos seguir los siguientes pasos:

1. Presta atención a las aplicaciones que instalas. Por ejemplo, Acecard solo muestra el logotipo de Flash Player cuando está en funcionamiento, pero este es el momento de recordar que ya no hay una versión legítima de Flash Player para Android.

2. No descargues aplicaciones desde tiendas no oficiales y, aunque lo hagas desde una tienda oficial, no descargues aplicaciones poco fiables y no necesarias. Los hackers pueden burlar la seguridad de Google Play y la nueva aplicación de salvapantallas de gatitos que te has instalado podría estar infectada.

3. Utiliza una nueva solución de seguridad. Kaspersky Internet Security para Android detecta todas las versiones conocidas de Acecard, por lo que esta es una buena protección contra Acecard, además de contra otras familias de malware.