Le Trojan Acecard menace les utilisateurs de plus de 30 applications bancaires et de paiement sur Android. La France dans le top 5 des pays les plus touchés.
L’équipe de recherche antimalware de Kaspersky Lab a détecté l’un des chevaux de Troie bancaires les plus dangereux jamais observés sur la plate-forme Android. Le malware Acecard est en effet capable de s’attaquer aux utilisateurs de près d’une cinquantaine d’applications et de services de finance en ligne, en contournant les mesures de sécurité de Google Play.
Au cours du troisième trimestre 2015, les experts de Kaspersky Lab ont repéré une augmentation inhabituelle du nombre d’attaques contre des services bancaires mobiles en Australie. Cela leur a paru suspect et très vite ils ont découvert que cette recrudescence était principalement imputable à un seul et même Trojan bancaire : Acecard.
La famille de chevaux de Troie Acecard utilise la quasi-totalité des fonctionnalités malveillantes aujourd’hui disponibles, qu’il s’agisse de s’approprier les messages (textes ou vocaux) d’une banque ou de superposer aux fenêtres des applications officielles de faux messages qui simulent la page d’authentification officielle afin de tenter de dérober des informations personnelles et des identifiants de compte. Les plus récentes versions de la famille Acecard peuvent s’attaquer aux applications clients d’une trentaine de systèmes bancaires et de paiement. Sachant que ces chevaux de Troie sont en mesure de maquiller toute application sur commande, le nombre total d’applications financières attaquées est peut-être bien supérieur.
En dehors des applications bancaires, Acecard peut détourner les applications suivantes avec des fenêtres de phishing :
· messageries instantanées : WhatsApp, Viber, Instagram, Skype ;
· réseaux sociaux : VKontakte, Odnoklassniki, Facebook, Twitter ;
· Client de messagerie Gmail ;
· application mobile PayPal ;
· applications Google Play et Google Music.
Le malware, détecté pour la première fois en février 2014, n’a cependant montré pratiquement aucun signe d’activité malveillante pendant une période prolongée. Tout a changé en 2015 lorsque les chercheurs de Kaspersky Lab ont remarqué un pic dans les attaques : de mai à décembre 2015, plus de 6000 utilisateurs ont été ciblés par ce cheval de Troie, la plupart d’entre eux se trouvant en Russie, Australie, Allemagne, Autriche et France.
Pendant leurs deux années d’observation, les chercheurs de Kaspersky Lab ont été témoins du développement actif du cheval de Troie. Ils ont ainsi enregistré au moins dix nouvelles versions du malware, chacune présentant une liste de fonctions malveillantes nettement plus longue que la précédente.
Applications bancaires : Google Play attaqué
Les appareils mobiles ont généralement été infectés après le téléchargement d’une application malveillante imitant une application authentique. Les variantes d’Acecard sont généralement diffusées sous le nom de Flash Player ou PornoVideo, même si d’autres appellations sont parfois employées dans le but de les faire passer pour des logiciels utiles et répandus.
Il ne s’agit toutefois pas de la seule méthode de diffusion de ce malware. Le 28 décembre 2015, les experts de Kaspersky Lab ont repéré une version du module de téléchargement d’Acecard – Trojan-Downloader.AndroidOS.Acecard.b – sur la boutique officielle Google Play. Le cheval de Troie se propage sous l’apparence d’un jeu. Une fois le malware téléchargé depuis Google Play, l’utilisateur ne voit qu’une icône Adobe Flash Player sur le bureau et aucune trace de l’application installée.
Qui se cache derrière Acecard ?
Après avoir étudié de près le code malveillant qui se cache dans ces Applications bancaires, les experts de Kaspersky Lab sont enclins à penser qu’Acecard est l’œuvre du même groupe de cybercriminels déjà responsable du premier cheval de Troie TOR pour Android, Backdoor.AndroidOS.Torec.a, et du premier ransomware de cryptage mobile, Trojan-Ransom.AndroidOS.Pletor.a.
Cette conclusion s’appuie sur la présence de lignes de code similaires (noms de méthodes et de classes) et l’utilisation des mêmes serveurs de commande et de contrôle (C&C). Cela tend à prouver qu’Acecard a été créé par un groupe criminel puissant et chevronné, très probablement russophone.
« Ce groupe cybercriminel utilise pratiquement chaque méthode existante pour propager le Trojan bancaire Acecard. Celui-ci peut être diffusé sous l’aspect d’un autre programme, via des boutiques d’applications officielles, ou par l’intermédiaire d’autres chevaux de Troie. Une caractéristique distinctive de ce malware est sa capacité à se superposer à plus de 30 systèmes bancaires et de paiement en ligne mais aussi des applications de réseaux sociaux, de messagerie instantanée ou autres. La combinaison des capacités et des modes de propagation d’Acecard font de ce cheval de Troie bancaire mobile l’une des menaces les plus dangereuses pour les utilisateurs aujourd’hui », avertit Roman Unuchek, analyste senior en malware chez Kaspersky Lab USA.
Afin de prévenir une infection, quelques recommandations :
– Ne pas télécharger ou/et installer d’applications depuis Google Play ou des sources internes si elles ne sont pas dignes de confiances ou ne peuvent être traitées comme telles.
– Ne pas consulter de pages web suspectes présentant des contenus particuliers et ne pas cliquer sur des liens suspects.
– Installer une solution de sécurité fiable sur les appareils mobiles, par exemple Kaspersky Internet Security for Android.
– Veiller à ce que les bases de données antivirales soient à jour et fonctionnent correctement.