Еще в феврале 2016 года эксперты «Лаборатории Касперского» представили отчет о семействе малвари Acecard, назвав эти мобильные банкеры одной из наиболее опасных угроз в настоящее время.
Теперь свой отчет о трояне Acecard опубликовали и исследователи McAfee. Специалисты обнаружили новую версию малвари. Если раньше Acecard распространялся, в том числе, и через официальный Google Play Store, маскируясь под карточные приложения и игры, теперь операторы малвари сменили тактику.
Новый Acecard распространяется через сторонние каталоги и выдает себя за Adobe Flash Player, порнографические приложения или видеокодеки. Попав на устройство, такое приложение начинает изводить пользователя постоянными запросами и не прекращает до тех пор, пока не получит желаемое – привилегии администратора. После этого малварь на какое-то время затихает и ожидает, когда пользовать запустит определенное приложение. Так, обнаруженный специалистами McAfee троян, дожидался запуска Google Play, а затем прибегал к приемам социальной инженерии.
Вначале троян выводит поверх окна приложения свое собственное и просит пользователя ввести номер банковской карты. Затем, в других всплывающих окнах, Acecard запрашивает прочую информацию о карточке, к примеру, дату истечения срока действия, а также просит жертву предоставить информацию удостоверяющую личность. Изученная экспертами McAfee версия трояна ориентирована в основном на пользователей из Гонконга и Сингапура, поэтому малварь интересуется именно местными документами. Если пользователь выполнил все просьбы трояна, Acecard переходит к финальному шагу и просит жертву сделать селфи, держа при этом в руках удостоверение личности.
«Это может быть очень полезно для киберпреступников, так они смогут подтвердить личность жертвы и получить доступ не только к ее банковском счету, но, вероятно, даже к аккаунтам в социальных сетях», — пишут исследователи.
Такое селфи, наряду с другой собранной информацией, действительно может быть использовано для подтверждения банковских транзакций, или для обращения в техническую поддержку социальных сетей и других сервисов.
Аналитики отмечают, что данную версию Acecard интересует не только Google Play. При помощи фальшивых окон малварь также собирает учетные данные от других приложений, в числе которых Facebook, WhatsApp, WeChat, Line, Viber, Dropbox, Google Music, Google Books и Google Videos.
