Die Evolution von Acecard

Während der Arbeit an unserem Quartalsbericht „Entwicklung der IT-Bedrohungen im dritten Quartal 2015“ stellten wir fest, dass Australien im dritten Quartal 2015 nach Anteil der von mobilen Bankschädlingen angegriffenen Nutzer auf den Spitzenplatz vorgerückt war. Wir wollten nun herausfinden, worin der Grund für diesen Führungswechsel lag. Es gelang uns auch tatsächlich, die Ursache aufzuspüren: Es waren mobile Bank-Trojaner der Familie Trojan-Banker.AndroidOS.Acecard. Auf diese Familie entfielen praktisch alle Attacken unter Einsatz von Bank-Trojanern in Australien.

Nachdem wir alle bekannten Modifikationen dieser Familie analysiert hatten, stellten wir fest, dass die Schädlinge viele unterschiedliche Anwendungen angreifen. Besonders hervorzuheben sind neun offizielle Apps Sozialer Netzwerke, die der Trojaner attackiert, um Passwörter zu stehlen. Zwei weitere Apps greift der Trojaner an, um an Kreditkartendaten zu gelangen. Doch das Interessanteste sind die fast 50 Finanz-Anwendungen (mobile Apps globaler Bezahlsysteme und Banken) und Services, die verschiedene Acecard-Modifikationen unter Einsatz ihres gesamten Arsenals angreifen – vom Diebstahl von Banken-SMS bis zum Überdecken der Fenster der offiziellen App mit Phishing-Mitteilungen.

Und hier noch eine interessante Tatsache, auf die wir während der Analyse des Trojaners gestoßen sind: Wir konnten feststellen, dass die Modifikationen von Acecard von denselben Cyberkriminellen geschrieben wurden, die vorher auch Backdoor.AndroidOS.Torec.a entwickelt hatten, den ersten TOR-Trojaner unter Android, sowie Trojan-Ransom.AndroidOS.Pletor.a, den ersten mobilen Verschlüsselungsschädling. Alle drei Trojaner laufen unter Android.

Wie alles begann

Angesichts der zunehmenden Popularität von Acecard und der umfassenden kriminellen Vergangenheit seiner Schöpfer beschlossen wir, uns einmal eingehender mit der Geschichte dieser Familie auseinanderzusetzen.

Alles begann mit Backdoor.AndroidOS.Torec.a. Die erste Version dieses Schädlings, die im Februar 2014 entdeckt wurde, konnte die folgenden Befehle vom Steuerungsserver (C&C) ausführen:

  • #intercept_sms_start – Abfangen eingehender SMS starten
  • #intercept_sms_stop – Abfangen eingehender SMS beenden
  • #ussd – USSD-Anfrage stellen
  • #listen_sms_start – Diebstahl eingehender SMS starten
  • #listen_sms_stop – Diebstahl eingehender SMS beenden
  • #check – Daten über das Telefon an den C&C schicken (Telefonnummer, Land, IMEI, Modell, Betriebssystem-Version)
  • #grab_apps – Liste der auf dem mobilen Gerät installierten Anwendungen an das C&C senden
  • #send_sms – SMS an die im Befehl angegebene Nummer senden
  • #control_number – Kontroll-Nummer des Telefons ändern

Im April 2014 erschien eine neue Modifikation mit zusätzlichen Funktionen. Neben den alten Befehlen beherrschte der Schädling nun auch die folgenden:

  • #check_gps – Koordinaten des Geräts an das C&C schicken
  • #block_numbers – Nummer zur Liste der Absender hinzufügen, deren SMS abgefangen werden sollen
  • #unblock_all_numbers – Liste der Absender löschen, deren SMS abgefangen werden sollen
  • #unblock_numbers – bestimmte Nummern aus der Liste der Absender, deren SMS abgefangen werden sollen, löschen
  • #sentid – SMS mit der ID des Trojaners an die angegebene Nummer senden

Ende Mai 2014 entdeckten wir den ersten mobilen Verschlüsselungstrojaner – Trojan-Ransom.AndroidOS.Pletor.a. Dieser Schädling chiffrierte die Dateien auf dem Gerät und forderte Lösegeld für die Entschlüsselung. Einige Modifikationen von Pletor nutzten TOR zur Kommunikation mit dem C&C.

Einige Monate später spürten wir eine neue Modifikation von Backdoor.AndroidOS.Torec auf. Im Gegensatz zu den vorangegangenen Varianten nutzte diese nicht das anonyme Netzwerk TOR und war auf den Diebstahl von Kreditkartendaten spezialisiert. Der Trojaner überdeckte die offizielle App vom Google Play Store mit einem Phishing-Fenster zur Dateneingabe.

Die Evolution von Acecard

Dieser Version gaben wir den Namen Trojan-Banker.AndroidOS.Acecard.a, der wir den Status einer gesonderten Familie verliehen. Im Folgenden behandeln wir alle Modifikationen dieses Trojaners wie Vertreter der Familie Acecard

Die Untersuchung und ein Vergleich des Codes von Backdoor.AndroidOS.Torec.a, Trojan-Ransom.AndroidOS.Pletor.a und Trojan-Banker.AndroidOS.Acecard.a haben gezeigt, dass sie von ein und denselben Cyberkriminellen geschrieben wurden. Hier einige eindeutige Beispiele:

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Backdoor.AndroidOS.Torec.a

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Trojan-Banker.AndroidOS.Acecard.a

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Trojan-Ransom.AndroidOS.Pletor.a

Ein anderes Beispiel:

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Backdoor.AndroidOS.Torec.a

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Trojan-Banker.AndroidOS.Acecard.a

Die Evolution von Acecard

Code aus der Klasse SmsProcessor des Trojaners Trojan-Ransom.AndroidOS.Pletor.a

Ein großer Teil der Klassen-Namen, Methoden und Variablen in diesen drei Trojanern ist identisch. Der Code der entsprechenden Methoden stimmt entweder vollständig überein oder es gibt geringfügige Veränderungen darin, doch die allgemeine Ähnlichkeit bleibt erhalten.

Die fortschreitende Entwicklung von Acecard

Der neu erschienene Trojaner Trojan-Banker.AndroidOS.Acecard.a konnte nur vier Befehle vom C&C ausführen:

  • #intercept_sms_start – Abfangen eingehender SMS starten
  • #intercept_sms_stop – Abfangen eingehender SMS beenden
  • #send_sms – SMS an im Befehl angegebene Nummer schicken
  • #control_number – Kontroll-Nummer des Telefons ändern

Die folgende Modifikation von Acecard, die Ende August 2014 gefunden wurde, nutzte – wie früher auch Pletor – das Netzwerk TOR für die Kommunikation mit dem C&C. Doch darüber hinaus entdeckten wir in dieser Variante noch zwei weitere Unterschiede. Zum einen war die Zahl der Befehle auf 15 gestiegen, von denen praktisch alle auch in früheren Versionen des Trojaners Torec anzutreffen waren:

  • #intercept_sms_start – Abfangen eingehender SMS starten
  • #intercept_sms_stop – Abfangen eingehender SMS beenden
  • #ussd – USSD-Anfrage stellen
  • #check_gps – Koordinaten des Geräts an das C&C senden
  • #block_numbers – Nummer zur Liste von Absendern hinzufügen, deren SMS abgefangen werden sollen
  • #unblock_all_numbers – Liste der Absender löschen, deren SMS abgefangen werden sollen
  • #unblock_numbers – bestimmte Nummern aus der Liste der Absender, deren SMS abgefangen werden sollen, löschen
  • #listen_sms_start – Diebstahl eingehender SMS starten
  • #listen_sms_stop – Diebstahl eingehender SMS beenden
  • #check – ID des Trojaners an das C&C senden
  • #grab_apps – Liste der auf dem mobilen Gerät installierten Anwendungen an das C&C senden
  • #send_sms – SMS an die im Befehl angegebene Nummer senden
  • #control_number – Kontroll-Nummer des Telefons ändern
  • #sentid – SMS mit der ID des Trojaners an eine bestimmte Nummer schicken
  • #show_dialog – dem Anwender ein Dialog-Fenster mit bestimmten Objekten (Eingabefeld, Schaltfläche u.a.) in Abhängigkeit von den Parametern des С&C-Befehls anzeigen

Der zweite Unterschied besteht in der gestiegenen Zahl der Phishing-Fenster. Neben der offiziellen App des Google Play Store überdeckte dieser Trojaner mit seinen Fenstern die Fenster der folgenden Apps:

  • Die Messenger WhatsApp, Viber, Instagram, Skype

Die Evolution von Acecard

  • Die Sozialen Netzwerke VKontakte, Odnoklassniki und Facebook

Die Evolution von Acecard

  • Der E-Mail-Client Gmail

Die Evolution von Acecard

  • Der offizielle Twitter-Client

Die Evolution von Acecard

In der zweiten Oktoberhälfte des Jahres 2014 entdeckten wir die folgende Acecard-Modifikation. Sie nutzte bereits nicht mehr TOR, ebenso wenig wie alle folgenden erkannten Versionen des Trojaners. Doch der Hauptunterschied lag nicht darin: Beginnend mit dieser Version verändert sich die Ausbreitungsgeografie des Schädlings drastisch. Während die früheren Versionen in erster Linie russische Nutzer angriffen, so entfällt seit Oktober 2014 ein großer Teil der Acecard-Attacken auf Australien, Deutschland und Frankreich, während der Anteil Russlands nur 10 Prozent der angegriffenen Nutzer ausmacht. Diese Tendenz bricht erst vier Monate später ab, im Februar 2015, obwohl Australien, Deutschland und Frankreich auch weiterhin zu den am häufigsten angegriffenen Ländern gehören.

Dabei hat sich die Geografie der Angriffe der Schädlinge aus der Familie Pletor praktisch nicht geändert: Ein großer Teil dieser Attacken entfiel und entfällt auch weiterhin auf Russland und die USA. Darüber hinaus gehören zu den Тop 5 der am häufigsten angegriffenen Länder auch die Ukraine, Weißrussland und Saudi-Arabien.

Mitte November 2014 erschien eine neue Version von Acecard, die nicht mehr nur Passwörter aus den Programmen populärer Sozialer Netzwerke stahl, sondern zusätzlich begann, mit ihrem Phishing-Fenster die App einer der populärsten australischen Banken zu überdecken. Nach nur zwei Tagen entdeckten wir eine weitere Modifikation dieses Trojaners, die bereits die Apps von vier australischen Banken angriff.

Die Evolution von Acecard

Die Evolution von Acecard

Diese Funktionalität blieb auch in den zuletzt von uns entdeckten Modifikationen der Familie Trojan-Banker.AndroidOS.Acecard erhalten.

Zudem überprüft diese Modifikation von Acecard beim Start den Ländercode des Gerätes (SIM Provider Country Code). Handelt es sich bei dem Land um Russland, so funktioniert der Trojaner nicht. Im Folgenden ist diese Überprüfung in fast allen Modifikationen anzutreffen. Interessant ist, dass diese Veränderungen in Trojan-Ransom.AndroidOS.Pletor erst Ende März 2015 in Erscheinung traten, und auch keinesfalls in allen Modifikationen.

Im Laufe der nächsten neun Monate änderte sich die Funktionalität der neuen Acecard-Modifikationen praktisch nicht, bis wir Anfang August 2015 eine neue Version fanden, die in der Lage war, die mobile PayPal-App mit ihrem Phishing-Fenster zu überdecken.

Die Evolution von Acecard

Zudem erschien mit dieser Modifikation auch ein neuer Befehl, und zwar #wipe. Nach Erhalt dieses Befehls wurde das mobile Gerät auf die Werkseinstellungen zurückgesetzt.

Seit Juni 2015 hat die Aktivität der Acecard-Entwickler stark zugenommen. Während wir vorher zwischen zwei und fünf Dateien pro Monat aufspüren konnten, die mit diesem Trojaner in Verbindung stehen, so entdeckten wir seit Juni etwa 20 Dateien pro Monat.

Die Evolution von Acecard

Anzahl der entdeckten Schaddateien nach Monaten

In die oben stehende Grafik fließen sowohl die von uns entdeckten Modifikationen des Bank-Trojaners Acecard als auch die mit ihm in Verbindung gebrachten Dateien ein, wie beispielsweise Trojan-Downloader. Die gestiegene Zahl der Dateien im November und insbesondere im Dezember hängt mit der aktiven Nutzung eines kommerziellen Code-Obfuskators durch die Cyberkriminellen und mit dem Auftreten obfuskierter Samples zusammen.

Ungefähr zur gleichen Zeit nahm auch die Zahl der Attacken unter Einsatz dieses Schädlings zu.

Die Evolution von Acecard

Anzahl der individuellen von Acecard angegriffenen Nutzer nach Monaten

In der ersten Septemberhälfte entdeckten wir eine neue Modifikation von Acecard, die in der Lage war, die mobile App einer weiteren australischen Bank sowie von vier neuseeländischen und drei deutschen Banken zu überdecken.

acecard_evo_de_17

Die Evolution von Acecard

Das bedeutet, dass diese Version 20 verschiedene Apps mit ihrem Phishing-Fenster überdecken kann, wobei 13 dieser Apps mobile Banking-Programme sind.

Die weitere Entwicklung des Trojaners in Richtung Finanzen schritt rasch voran:

  • Die nächste Modifikation, die nur einige Tage später erschien, überdeckte bereits 20 Bank-Apps. Die Liste der Angegriffenen erweiterte sich damit um eine australische Bank, um vier Hongkonger Banken und drei österreichische Finanzinstitute.
  • Ende September trat die nächste Modifikation mit neuer Funktionalität auf den Plan: Der Schädling enthielt eine Liste von Bank-Nummern, von denen ausgehende SMS abgefangen und an die Cyberkriminellen geschickt werden sollen. Zudem verfügt der Trojaner über eine Liste von Phrasen, aufgrund derer er versteht, dass es sich um eine Mitteilung mit dem Code zur Bestätigung einer Operation oder zur Bestätigung der Registrierung handelt. Der Schädling sendet den Angreifern nur den Code selbst, ohne den gesamten SMS-Text. Diese Acecard-Modifikation fängt SMS von siebzehn russischen Banken ab.
  • Anfang Oktober erschien eine neue Modifikation, die die Apps von drei amerikanischen Großbanken angreift. Interessant ist, dass die USA von vornherein in den Top 10 der von diesem Schädling angegriffenen Länder vertreten waren, doch erst im Dezember 2015 stieg die Zahl der Angriffe auf amerikanische User steil an. Im selben Monat landeten die USA auf Platz drei der Länder nach Anzahl der individuellen, von diesem Schädling angegriffenen Nutzer.
  • Mitte Oktober betrat eine neue Modifikation die Bühne, die in der Lage ist, schon 24 Finanz-Apps zu überdecken. Fünf Anwendungen gehören zu australischen Banken, je vier zu Banken in Hongkong, Österreich und Neuseeland, je drei Apps entfielen auf deutsche und singapurische Banken, eine gehörte zu PayPal.
  • Anfang November erschien eine neue Modifikation mit Phishing-Fenstern, die die Oberflächen von spanischen Banken-Apps kopieren.

Erwähnenswert ist zudem, dass in praktisch allen Acecard-Modifikationen ein Befehl enthalten ist, nach dessen Erhalt der Trojaner mit seinem Fenster jede beliebige angegebene App überdeckt. Möglicherweise erschien diese Variante den Cyberkriminellen vielversprechender, da ein großer Teil der im November und Dezember entdeckten Modifikationen ein spezielles Fenster ausschließlich zum Überdecken der Apps Google Play und Google Music enthielt, mit dem Ziel, Kreditkartendaten zu stehlen. Andere Apps konnten nicht umgehend ohne Erhalt eines entsprechenden Befehls vom C&C überdeckt werden.

1779_Infographics_Acecard_Map

Zum gegenwärtigen Zeitpunkt können die neuesten Vertreter der Familie Acecard mobile Apps von nahezu 30 unterschiedlichen Banken und Bezahlsystemen angreifen. Bedenkt man, dass diese Trojaner die Funktionalität enthalten, auf Befehl der Cyberkriminellen jede beliebige App mit einem Phishing-Fenster abzudecken, so ist die Zahl der angreifbaren Banken noch wesentlich höher.

Auch wenn die Schädlinge dieser Familie imstande sind, Nutzer aus einer langen Liste von Ländern anzugreifen, entfällt die Mehrzahl der Attacken auf Russland, Australien, Deutschland, Österreich und Frankreich.

Die Evolution von Acecard

Anzahl der angegriffenen individuellen Anwender nach Ländern

Dabei ist die Familie Trojan-Banker.AndroidOS.Acecard in Deutschland und Australien die populärste unter allen mobilen Bankern, die die Bewohner dieser Länder angreifen.

Verbreitung

Die Schädlinge der Familie Acecard werden in vielen Ländern in erster Linie unter den Namen Flash Player oder PornoVideo verbreitet, wenngleich sie manchmal auch andere Namen verwenden, die denen nützlicher und beliebter Programme ähneln. Darüber hinaus wird diese Familie über Trojan-Downloader verbreitet, welche die Kaspersky-Schutzlösungen als Trojan-Downloader.AndroidOS.Acecard erkennen.

Am 28. Dezember ist es uns gelungen, mit Trojan-Downloader.AndroidOS.Acecard.b eine der Modifikationen des Trojan-Downloaders von Acecard aufzuspüren, und zwar im offiziellen App-Shop Google Play Store.

Die Evolution von Acecard

Seite des Trojaners Trojan-Downloader.AndroidOS.Acecard.b im Google Play Store

Der Schädling wird als Spiele getarnt verbreitet, obwohl er tatsächlich über keine nützliche Funktionalität verfügt. Das Hauptziel der schädlichen App besteht im Laden und Installieren einer voll funktionsfähigen Modifikation des Bank-Trojaners Acecard. Dabei haben sich die Verbrecher noch nicht einmal die Zeit genommen, der Anwendung einen legitimen Anstrich zu verpassen. Nach der Installation des Schädlings aus Google Play wird dem Nutzer nicht das Icon des Spiels angezeigt. Auf dem Bildschirm erscheint lediglich das Icon vom Adobe Flash Player.

1779_Infographics_Acecard_Timeline

Zudem konnten wir eine neue Modifikation des Trojan-Downloaders aufspüren – Trojan-Downloader.AndroidOS.Acecard.c. Sie unterscheidet sich dadurch von ihren Vorgängern, dass der Trojaner nach dem Start eine Sicherheitslücke im System ausnutzt, um Superuser-Rechte zu erhalten. Mit diesen Rechten kann Trojan-Downloader.AndroidOS.Acecard.c den Bank-Trojaner Acecard im Systemverzeichnis installieren, wodurch es unmöglich wird, ihn mit Standardmitteln zu löschen. In den meisten Fällen wird ein anderer Trojaner auf diese Weise verbreitet, und zwar der uns bereits bekannte Trojan-Ransom.AndroidOS.Pletor.

Die Cyberkriminellen nutzen praktisch alle nur möglichen Wege, um den Schädling Acecard zu verbreiten – getarnt als andere Programme, über offizielle App-Shops und mit Hilfe anderer Trojaner. Die Kombination dieser Verbreitungswege, unter anderem auch unter Ausnutzung von Sicherheitslücken im Betriebssystem, und die Möglichkeiten von Acecard machen diesen mobilen Banker zu einer überaus gefährlichen Bedrohungen für die Nutzer.

MD5

58FED8B5B549BE7ECBFBC6C63B84A728
8D260AB2BB36AEAF5B033B80B6BC1E6A
CF872ACDC583FE80B8F54957E14355DF
FBBCCD640CE75BD618A7F3187EC1B742
01E8CEA7DF22B1B3CC560ACB049F8EA0
DDCE6CE143CCA26E59063E7A4BB89019
9D34FC3CFCFFEA760FC1ADD377AA626A
03DA636518CCAF432AB68B269F7E6CC3
05EBAA5C7FFA440455ECB3519F923B56
E3FD483AD3731DD62FBE027B4E6880E6
53888352A4A1E3CB810B2A3F51D0BFC2
E1C794A614D5F6AAC38E2AEB77B139DA
54332ED8EA9AED12400A75496972D7D7
5DB57F89A85F647EBBC5BAFBC29C801E
702770D70C7AAB793FFD6A107FD08DAD
CF25782CAC01837ABACBF31130CA4E75
07DF64C87EA74F388EF86226BC39EADF
F61DB995F5C60111C9656C2CE588F64F

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.