Evolution d’Acecard

Lors de la préparation du rapport « Développement des menaces informatiques au 3e trimestre 2015« , nous avons remarqué qu’à l’issue de cette période, l’Australie figurait parmi les leaders parmi les pays où il y avait le plus d’utilisateurs victimes de malwares mobiles bancaires. Nous avons décidé de rechercher les causes de ce changement et nous avons obtenu notre réponse : les trojans bancaires de la famille Trojan-Banker.AndroidOS.Acecard. Cette famille était responsable de pratiquement toutes les attaques impliquant des malwares bancaires en Australie.

L’analyse de toutes les versions connues au sein de cette famille nous a permis de confirmer que ces malwares s’attaquent à un large éventail d’applications les plus diverses. Parmi celles-ci, citons neuf applications officielles de réseaux sociaux que le malware attaque dans l’espoir d’obtenir les mots de passe. Dans le cas de deux autres applications, le trojan cherche à obtenir les données de cartes bancaires. Mais le plus intéressant, ce sont près de 50 applications financières (applications clientes de systèmes de paiement en ligne internationaux et de banques) et de services victimes d’attaques organisées par différentes versions d’Acecard à l’aide de tout un arsenal allant du vol des SMS envoyés par les banques jusqu’à la couverture des fenêtres d’applications officielles par des messages de phishing.

Et voici un autre fait intéressant découvert dans le cadre de l’analyse du trojan : nous avons réussi à confirmer que les modifications d’Acecard sont le fruit du travail des mêmes individus malintentionnés qui ont introduit Backdoor.AndroidOS.Torec.a, le premier trojan TOR sous Android et Trojan-Ransom.AndroidOS.Pletor.a, le premier malware de chiffrement pour appareil mobile. Tous les trois fonctionnent sous le système d’exploitation Android.

Genèse

Etant donné la popularité croissante d’Acecard et les riches antécédents criminels de ses auteurs, nous avons décidé d’étudier en profondeur l’histoire de cette famille.

Tout a commencé avec Backdoor.AndroidOS.Torec.a. La première version de ce malware, découverte en février 2014, était capable de réaliser les commandes suivantes envoyées par le centre de commande :

  • #intercept_sms_start : début de l’interception des SMS entrants ;
  • #intercept_sms_stop : arrêt de l’interception des SMS entrants ;
  • #ussd : introduction de requêtes USSD ;
  • #listen_sms_start : début du vol des SMS entrants
  • #listen_sms_stop : arrêt du vol des SMS entrants ;
  • #check : envoi des données relatives au téléphone au centre de commande (numéro de téléphone, pays, IMEI, modèle, version du SE) ;
  • #grab_apps : envoi de la liste des applications installées sur l’appareil nomade au centre de commande ;
  • #send_sms : envoi d’un SMS au numéro repris dans la commande :
  • #control_number : modification du numéro de gestion du téléphone.

Ensuite, en avril 2014, une version plus fonctionnelle est apparue. Outre les anciennes commandes, cette version prenait en charge les commandes suivantes :

  • #check_gps : envoi des coordonnées géographiques de l’appareil au serveur de commande ;
  • #block_numbers : ajout de numéros à la liste des expéditeurs dont les SMS seront interceptés ;
  • #unblock_all_numbers : purge de la liste des expéditeurs dont les SMS seront interceptés ;
  • #unblock_numbers : suppression de numéros déterminés dans la liste de expéditeurs dont les SMS seront interceptés ;
  • #sentid : envoi d’un SMS contenant l’ID du trojan au numéro indiqué.

A la fin du mois de mai 2014, nous avons détecté le premier malware de chiffrement pour appareil nomade : Trojan-Ransom.AndroidOS.Pletor.a. Ce trojan chiffrait les fichiers sur les appareils et exigeait le paiement d’une rançon pour le déchiffrement. Certaines modifications de Pletor communiquaient avec le centre de commande via TOR.

Un mois plus tard, nous découvrions une nouvelle modification de Backdoor.AndroidOS.Torec. A la différence des versions antérieures, celle-ci n’utilisait pas TOR et elle visait le vol des données des cartes bancaires : le trojan masquait l’application officielle de Google Play Store sous une fenêtre de phishing dotée de champs de saisie de données.

Evolution d'Acecard

C’est à cette modification que nous avons octroyé le verdict Trojan-Banker.AndroidOS.Acecard.a, dans une famille distincte. Par la suite, toutes les modifications de ce trojan ont été détectées comme des représentants de la famille Acecard.

L’analyse et la comparaison du code de Backdoor.AndroidOS.Torec.a, Trojan-Ransom.AndroidOS.Pletor.a et Trojan-Banker.AndroidOS.Acecard.a démontrent qu’ils sont tous le fruit des mêmes individus malintentionnés. Voici quelques exemples marquants :

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan Backdoor.AndroidOS.Torec.a

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan-Banker.AndroidOS.Acecard.a

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan-Ransom.AndroidOS.Pletor.a

Autre exemple :

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan Backdoor.AndroidOS.Torec.a

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan-Banker.AndroidOS.Acecard.a

Evolution d'Acecard

Code de la catégorie SmsProcessor du Trojan-Ransom.AndroidOS.Pletor.a

Une grande partie des noms de catégorie, des méthodes et des variables pour ces trois trojans correspondent. Le code des méthodes correspondantes soit est en équivalence parfaite, soit contient de légères modifications, mais dans l’ensemble les similitudes sont préservées.

Evolution progressive d’Acecard

Le nouveau trojan identifié Trojan-Banker.AndroidOS.Acecard.a ne pouvait exécuter que quatre commandes envoyées par le centre de commande :

  • #intercept_sms_start : début de l’interception des SMS entrants ;
  • #intercept_sms_stop : arrêt de l’interception des SMS entrants ;
  • #send_sms : envoi d’un SMS au numéro repris dans la commande :
  • #control_number : modification du numéro de gestion du téléphone.

La modification suivante d’Acecard, découverte à la fin du mois d’août 2014, utilisait, à l’instar de Pletor avant elle, le réseau TOR pour communiquer avec le centre de commande. Mais nous avons identifié deux autres différences. Tout d’abord, le nombre de commandes exécutables était passé à 15. La majorité de ces commandes figuraient déjà dans les versions plus anciennes du trojan Torec :

  • #intercept_sms_start : début de l’interception des SMS entrants ;
  • #intercept_sms_stop : arrêt de l’interception des SMS entrants ;
  • #ussd : formulation de requêtes USSD ;
  • #check_gps : envoi des coordonnées géographiques de l’appareil au serveur de commande ;
  • #block_numbers : ajout de numéros à la liste des expéditeurs dont les SMS seront interceptés ;
  • #unblock_all_numbers : purge de la liste des expéditeurs dont les SMS seront interceptés ;
  • #unblock_numbers : suppression de numéros déterminés dans la liste de expéditeurs dont les SMS seront interceptés ;
  • #listen_sms_start : début du vol des SMS entrants ;
  • #listen_sms_stop : arrêt du vol des SMS entrants ;
  • #check : envoi de l’ID du trojan au centre de commande
  • #grab_apps : envoi au centre de commande de la liste des applications installées sur l’appareil mobile ;
  • #send_sms : envoi d’un SMS au numéro indiqué dans la commande ;
  • #control_number : remplacement du numéro de téléphone de commande ;
  • #sentid : envoi d’un SMS contenant l’ID du trojan au numéro indiqué ;
  • #show_dialog : affichage pour l’utilisateur d’une boîte de dialogue dont le contenu (champs de saisie, boutons, etc.) varie en fonction des paramètres de commande du centre de commande.

La deuxième différence se manifestait par une augmentation du nombre de fenêtres de phishing. Outre l’application officielle Google Play Store, ce trojan pouvait masquer les applications suivantes à l’aide de ses fenêtres :

  • Clients de messagerie WhatsApp, Viber, Instagram, Skype

Evolution d'Acecard

  • Applications de réseaux sociaux VKontakte, Odnoklassniki, Facebook

Evolution d'Acecard

  • Client de messagerie Gmail

Evolution d'Acecard

  • Client officiel Twitter

Evolution d'Acecard

Au cours de la 2e quinzaine d’octobre 2014, nous avons découvert la modification suivante d’Acecard. Elle n’utilisait plus TOR, comme ce fut le cas pour toutes les versions du trojan qui allaient être découvertes par la suite. Mais là n’était pas la différence principale : l’apparition de cette nouvelle version correspond à une modification sensible de la répartition géographique du malware. Alors que les versions plus anciennes attaquaient principalement des utilisateurs russes, on observe à partir d’octobre 2014 un pourcentage d’attaques supérieur contre des utilisateurs en Australie, en Allemagne et en France, tandis que la part d’attaques touchant la Russie n’atteint plus que 10 % des utilisateurs. Cette tendance aura été rompue seulement 4 mois plus tard, en février 2015, même si l’Australie, l’Allemagne et la France demeurent toujours parmi les pays les plus attaqués.

De son côté, la répartition des pays attaqués par les malwares de la famille Pletor n’a pratiquement pas changé : la Russie et les Etats-Unis étaient et sont toujours les pays les plus visés. Le Top 5 des pays les plus attaqués reprend régalement l’Ukraine, la Biélorussie et l’Arabie saoudite.

A la mi-octobre 2014, une nouvelle version d’Acecard a vu le jour : outre le vol de mots de passe dans les clients de réseaux sociaux célèbres, elle a commencé à appliquer des fenêtres de phishing sur l’application mobile d’une des plus grandes banques australiennes. A peine deux jours plus tard, nous avons découvert une autre modification de ce trojan qui attaquait les applications de quatre banques australiennes.

Evolution d'Acecard

acecard_evo_fr_13

Cette fonction a été maintenue dans les modifications les plus récentes que nous avons découvertes dans la famille Trojan-Banker.AndroidOS.Acecard.

De plus, cette modification d’Acecard vérifie le préfixe du pays et l’opérateur de l’appareil (code pays du fournisseur de la carte SIM) et si ce pays est la Russie, le trojan ne s’active pas. Cette vérification s’est étendue par la suite à presque toutes les modifications. Il est intéressant de constater que ces modifications sont apparues dans Trojan-Ransom.AndroidOS.Pletor uniquement à la fin du mois de mars 2015, mais pas de manière universelle.

Au cours des neuf mois qui ont suivis, la fonction des nouveles modifications d’Acecard n’a pratiquement pas changé. Mais en août 2015, nous avons découvert une nouvelle version qui était capable d’afficher une fenêtre de phishing sur une fenêtre de l’application mobile de PayPal.

Evolution d'Acecard

Cette nouvelle version était également dotée d’une nouvelle commande : #wipe. Après la réception de cette commande, Acecard rétablit les valeurs par défaut de l’appareil mobile.

Notons que l’activité des développeurs d’Acecard a sensiblement augmenté à partir de juin 2015. Alors qu’auparavant, nous avions pu détecter de 2 à 5 fichiers liés à ce trojan par mois, ce chiffre est passé à 20 fichiers par mois à partir de juillet.

Evolution d'Acecard

Nombre de fichiers malveillants découverts par mois

Le diagramme ci-dessus reprend les modifications du trojan bancaire Acecard que nous avons détectées et les fichiers qui lui sont associés, par exemple, des trojans downloaders. L’augmentation de fichiers en novembre et plus particulièrement en décembre est liée à l’utilisation intense par les individus malintentionnés d’un obfuscateur de code en vente libre et à l’apparition de version obfusquée du trojan.

C’est à peu près à cette même époque que le nombre d’attaques impliquant ce malware en question a augmenté.

Evolution d'Acecard

Nombre d’utilisateurs uniques attaqués par Acecard par mois

Au cours de la première quinzaine du mois de septembre, nous avons découvert une nouvelle version d’Acecard qui incluait la dissimulation de l’application mobile d’une autre banque australienne, de quatre banques de Nouvelle-Zélande et de trois banques allemandes.

acecard_evo_fr_17

Evolution d'Acecard

En d’autres termes, cette version du malware est en mesure de masquer par une fenêtre de phishing la fenêtre de 20 applications, dont 13 applications bancaires.

Le développement « bancaire » du trojan Acecard s’est à nouveau accéléré :

  • La modification suivante, lancée quelques jours plus tard seulement, pouvaient attaquer 20 applications bancaires. Parmi les nouvelles victimes, il y avait une autre banque australienne, une banque située à Hong Kong et trois autrichennes.
  • La fin du mois de septembre aura été marquée par l’apparition d’une nouvelle version avec une nouvelle fonction : le malware contenait la liste des numéros de téléphone des banques dont les SMS allaient être retransmis aux individus malintentionnés. Le trojan inclut une liste d’expressions qui lui permet de comprendre qu’il s’agit bien d’un message avec un code de confirmation de transaction ou d’enregistrement. Ensuite, il envoie uniquement le code sans le reste du message. Cette modification d’Acecard intercepte les SMS de près de 70 banques russes.
  • Au début du mois d’octobre, nous avons identifié une nouvelle modification qui attaquait les applications de trois grandes banques américaines. Il est intéressant de constater que les Etats-Unis se sont retrouvés directement dans le Top 10 des pays attaqués par ce malware, mais ce n’est qu’en décembre 2015 que le nombre d’attaques contre les utilisateurs américains a sensiblement augmenté. Au cours de ce mois, les Etats-Unis sont devenus le troisième pays par nombre d’utilisateurs uniques attaqués par ce malware.
  • Une nouvelle version capable d’attaquer 24 applications financières est apparue au milieu du mois d’octobre. Cinq applications concernaient des banques australiennes, quatre banques de Hong Kong, d’Autriche et de Nouvelle-Zélande, trois applications de banques d’Allemagne et de Singapour et une, de PayPal.
  • Au début du mois de novembre, une nouvelle modification, dotée de nouvelles fenêtres de phishing prévues pour des applications de banques espagnoles, a fait son apparition.

Il faut noter que la grande majorité de ces modifications d’Acecard possède une commande qui permet au trojan d’appliquer sa fenêtre sur n’importe quelle application indiquée. Il se peut que les individus malintentionnés aient vu un plus grand avenir pour cette version car la majorité des modifications détectées en novembre et en décembre 2015 possédait une fenêtre spéciale uniquement pour masquer les applications Google Play et Google Music en vue de voler les données des cartes bancaires. Plus aucune fenêtre d’application n’est masquée sans avoir reçu la commande correspondante du centre de commande.

1779_Infographics_Acecard_Map

A l’heure actuelle, les représentants les plus récents de la famille Acecard peuvent attaquer les applications clients de près de 30 banques et systèmes de paiement différents. Et si l’on tient compte du fait que ces trojans sont capables de masquer la fenêtre de n’importe quelle application sur commande de l’individu malintentionné, le nombre d’applications financières attaquées peut être considérablement supérieur.

Bien que les malwares de cette famille soient capables d’attaquer des utilisateurs de toute une série de pays, la majorité des attaques est concentrée en Russie, en Australie, en Allemagne, en Autriche et en France.

Evolution d'Acecard

Nombre d’utilisateurs uniques attaqués par pays

En Allemagne et en Australie, la famille Trojan-Banker.AndroidOS.Acecard est la plus populaire parmi l’ensemble des malwares bancaires mobiles qui attaquent les habitants de ces pays.

Propagation

Les malwares de la famille Acecard se propagent principalement dans de nombreux pays sous le nom de l’application Flash Player ou PornoVideo. Il leur arrive parfois de se propager sous d’autres noms qui évoquent des applications utiles ou répandues. Cette famille se propage également via des trojan downloader que nous détectons sous le nom Trojan-Downloader.AndroidOS.Acecard.

Signalons que nous avons réussi à détecter le 28 décembre une des modifications du trojan downloader d’Acecard, Trojan-Downloader.AndroidOS.Acecard.b, dans le magasin officiel Google Play Store.

Evolution d'Acecard

Page de Trojan-Downloader.AndroidOS.Acecard.b dans Google Play Store

Le malware se propage sous la forme de jeux, mais il ne dispose en réalité d’aucune fonction utile pour l’utilisateur. Le rôle principal du malware est de télécharger et d’installer une version complètement opérationnelle du trojan bancaire Acecard. Les individus malintentionnés n’ont même pas estimé qu’il était nécessaire de créer un semblant de légitimité pour l’application. Une fois que le malware est installé via Google Play, l’utilisateur ne voit aucune icône de jeu, mais seulement l’icône d’Adobe Flash Player.

1779_Infographics_Acecard_Timeline

Nous avons découvert une nouvelle version du trojan downloader : Trojan-Downloader.AndroidOS.Acecard.c. Il se distingue par l’utilisation d’une vulnérabilité dans le système après le lancement du trojan qui lui permet d’obtenir les autorisations de superutilisateur. Une fois doté de ces autorisations, Trojan-Downloader.AndroidOS.Acecard.c peut installer le trojan bancaire Acecard dans la mémoire système, ce qui le protège contre la suppression via les outils traditionnels. De plus, un autre trojan que nous connaissons déjà se propage de la même manière : il s’agit de Trojan-Ransom.AndroidOS.Pletor.

Bref, les individus malintentionnés exploitent presque toutes les méthodes possibles pour propager le malware bancaire Acecard, que ce soit sous les traits d’autres applications, via des magasins d’applications officiels ou via d’autres trojan. La combinaison des modes de propagation, notamment l’exploitation d’une vulnérabilité dans le système d’exploitation, et les possibilités d’Acecard transforment ce malware bancaire mobile en une des menaces les plus dangereuses pour les utilisateurs.

MD5

58FED8B5B549BE7ECBFBC6C63B84A728
8D260AB2BB36AEAF5B033B80B6BC1E6A
CF872ACDC583FE80B8F54957E14355DF
FBBCCD640CE75BD618A7F3187EC1B742
01E8CEA7DF22B1B3CC560ACB049F8EA0
DDCE6CE143CCA26E59063E7A4BB89019
9D34FC3CFCFFEA760FC1ADD377AA626A
03DA636518CCAF432AB68B269F7E6CC3
05EBAA5C7FFA440455ECB3519F923B56
E3FD483AD3731DD62FBE027B4E6880E6
53888352A4A1E3CB810B2A3F51D0BFC2
E1C794A614D5F6AAC38E2AEB77B139DA
54332ED8EA9AED12400A75496972D7D7
5DB57F89A85F647EBBC5BAFBC29C801E
702770D70C7AAB793FFD6A107FD08DAD
CF25782CAC01837ABACBF31130CA4E75
07DF64C87EA74F388EF86226BC39EADF
F61DB995F5C60111C9656C2CE588F64F

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *