Llegamos a ustedes gracias a:



Alertas de Seguridad

Kaspersky Lab detecta el troyano Acecard

Un riesgo para los usuarios de más de 40 aplicaciones Android

[24/02/2016] El equipo de Investigación antimalware de Kaspersky Lab ha detectado uno de los troyanos de transacciones bancarias más peligrosos jamás vistos en Android. El malware Acecard es capaz de atacar a los usuarios de casi 50 diferentes aplicaciones y servicios financieros en línea, y puede eludir las medidas de seguridad de la tienda Google Play.

Durante el tercer trimestre del 2015, los expertos de Kaspersky Lab detectaron un aumento inusual en el número de ataques contra las transacciones bancarias móviles en Australia. Parecía sospechoso y muy pronto se descubrió que la razón principal de este aumento era un solo troyano bancario: Acecard.

La familia a la que pertenece el troyano Acecard utiliza casi toda la funcionalidad del software malicioso que existe actualmente, desde robar mensajes de texto y de voz de un banco hasta superponer ventanas de aplicaciones oficiales con mensajes falsos que simulan la página oficial de inicio de sesión, en un intento de robar la información personal y los detalles de las cuentas.

Las versiones más recientes de la familia Acecard pueden atacar las aplicaciones para clientes de unos 30 bancos y sistemas de pago. Teniendo en cuenta que estos troyanos son capaces de superponer su mensaje a voluntad en cualquier aplicación, el número total de aplicaciones financieras atacadas puede ser mucho mayor.

Además de las aplicaciones bancarias, Acecard puede superponer ventanas de phishing en las siguientes aplicaciones:

  • Servicios de mensajería instantánea (IM): WhatsApp, Viber, Instagram, Skype;
  • Redes sociales: VKontakte, Odnoklassniki, Facebook, Twitter;
  • El cliente de Gmail;
  • La aplicación móvil de PayPal;
  • Google Play y las aplicaciones de Google Music.

"El malware fue detectado por primera vez en febrero del 2014, pero durante un largo periodo no mostró signos de actividad maliciosa. Todo cambió en el 2015, cuando los investigadores de Kaspersky Lab detectaron un aumento en los ataques: en el período comprendido de mayo a diciembre del 2015, más de seis mil usuarios fueron atacados con este troyano. La mayoría de ellos vivían en Rusia, Australia, Alemania, Austria y Francia, comentó Roman Unuchek, analista de Malware Sénior en Kaspersky Lab USA.

Durante los dos años de observación, los investigadores de Kaspersky Lab fueron testigos del desarrollo activo de este troyano. Se registraron más de 10 nuevas versiones de este programa malicioso, cada una con una lista mucho más larga de funciones dañinas que la anterior.

"Por lo regular, los dispositivos móviles adquirieron la infección después de bajar una aplicación maliciosa que se hacía pasar por una legítima. Las versiones de Acecard se distribuyen normalmente como Flash Player o PornoVideo, aunque a veces se utilizan otros nombres en un intento de imitar programas útiles y populares, indicó Unuchek.

Pero esta no es la única forma en que este malware se distribuye. Según lo señalado por el analista, el 28 de diciembre del 2015, los expertos de Kaspersky Lab detectaron una versión descargable del troyano Acecard, la Trojan-Downloader.AndroidOS.Acecard.b, en la tienda oficial de Google Play. El troyano se propaga bajo la apariencia de un juego. Cuando el malware se instala desde Google Play, el usuario solo verá un ícono de Adobe Flash Player en la pantalla del escritorio y ninguna señal real de la aplicación instalada.

"Mirando a fondo el código del malware, nos inclinanamos a pensar que Acecard fue creado por el mismo grupo de cibercriminales responsables del primer troyano TOR para Android, Backdoor.AndroidOS.Torec.ay del primer programa de cifrado y ransomware móvil Trojan-Ransom.AndroidOS.Pletor.a, indicó Unuchek.

Añadió que la evidencia de esto se basa en líneas de código similares (nombres de métodos y clases) y en el uso de los mismos servidores C & C (Command and Control). "Esto demuestra que Acecard fue hecho por un grupo de criminales poderosos y experimentados, probablemente de habla rusa, señaló el analista.

Con el fin de prevenir la infección, Unuchek recomienda lo siguiente:

* No bajar ni instalar aplicaciones desde Google Play o fuentes internas si no son de confianza o se pueden tratar como tales;

* No visitar páginas web sospechosas con contenido específico ni hacer clic en enlaces sospechosos;

* Instalar una solución de seguridad fiable en los dispositivos móviles;

* Asegurarse de que las bases de datos antivirus están al día y funcionando correctamente.

CIO, Perú