Ewolucja trojana Asacub: od płotki do grubej ryby

Kaspersky Lab wykrył trojana bankowego Asacub, który w styczniu zaczął aktywnie atakować użytkowników platformy Android. Naszym ekspertom udało się prześledzić jego ewolucję krok po kroku. Trojan bankowy to rodzaj szkodliwego programu,

Kaspersky Lab wykrył trojana bankowego Asacub, który w styczniu zaczął aktywnie atakować użytkowników platformy Android. Naszym ekspertom udało się prześledzić jego ewolucję krok po kroku.

asacub-trojan-FB

Trojan bankowy to rodzaj szkodliwego programu, który jest zainstalowany w urządzeniu mobilnym i kradnie pieniądze z kart kredytowych użytkownika. Najnowsze wersje Asacub zachęcają użytkowników do podawania danych poufnych karty kredytowej na stronach phishingowych. Oczywiście wprowadzane dane nie trafiają w ręce banku.

Ponieważ komunikaty phishingowe wykorzystywane przez tego trojana wizualnie przypominały ekrany logowania niektórych banków z Rosji i Ukrainy, badacze początkowo podejrzewali, że celami ataku mieli być mieszkańcy właśnie tych krajów. Jednak w toku dalszego śledztwa badacze z Kaspersky Lab zidentyfikowali wersję dodatkową Asacuba, przeznaczoną dla użytkowników ze Stanów Zjednoczonych — kolejny komunikat phishingowy zawierał logo znanego banku amerykańskiego. Fałszywe ekrany logowania były jedynym sposobem uzyskania danych kart kredytowych przez złośliwy program; wygląda więc na to, że twórcy Asacuba podszywali się jedynie pod wybrane banki.

bank_screen-3

Niemniej jednak Asacub to coś więcej niż tylko oszustwo phishingowe. Chociaż na początku był zwykłym szkodliwym programem, ewoluował na wyższy poziom w hierarchii szkodliwych programów.

Pierwsza iteracja tego szkodliwego programu, którego rodzina jest wykrywana przez produkty Kaspersky Lab jako Trojan-Banker.AndroidOS.Asacub, została wykryta przez naszych badaczy w czerwcu 2015 roku. Wówczas była to typowa próbka szkodliwego programu wykorzystującego phishing, zdalnie zarządzanego poprzez serwer poleceń i kontroli.

Po zainstalowaniu na danym urządzeniu pierwsza wersja Asacub mogła wysyłać do zdalnego serwera C&C określone informacje, takie jak lista zainstalowanych aplikacji, historia przeglądarki i lista kontaktów. Wczesna wersja Asacuba mogła także wysyłać SMS-y na wskazany numer telefonu i wyłączać ekran na żądanie.

Nową wersję Asacuba dostrzeżono w lipcu i posiadała ona bardziej zaawansowany zestaw narzędzi. Poza dotychczasowymi możliwościami mogła zarządzać cyklem komunikacji z serwerem C&C, przechwytywać lub usuwać wiadomości tekstowe i wysyłać historię SMS-ów na zdalny serwer.

Poza tym nowsza wersja potrafi wyciszać telefon, utrzymywać procesor w stanie aktywności nawet po wygaszeniu ekranu i, co najważniejsze, zapewniać oszustom dostęp do konsoli. Ostatnia z wymienionych jest klasyczną funkcją backdoorów i jest dosyć rzadko używana przez trojany bankowości mobilnej. Począwszy od tej wersji, Asacub stał się czymś więcej niż tylko zwykłym programem phishingowym.

Od września wiemy, że poza wyżej wspomnianymi możliwościami potrafi on wykorzystywać komunikaty phishingowe do kradzieży danych kart kredytowych w wybranych aplikacjach bankowości mobilnej. Co więcej, może przesyłać dalej połączenia ofiary na dany numer telefonu, wysyłać żądania USSD, a także pobierać i uruchamiać pliki z podejrzanych stron.

Do tej pory Asacub działał w ukryciu: badacze z Kaspersky Lab mieli świadomość kilku iteracji tego szkodliwego programu, ale nie zarejestrowali masowych ataków z jego użyciem. Przełomowy okazał się okres Bożego Narodzenia. Roman Unuchek, jeden z ekspertów, którzy wykryli Asacub, powiedział:

„Szkodliwy program długo pozostawał poza naszym wzrokiem, aż atakujący rozpoczęli aktywnie dystrybuować Asacub podczas przerwy świątecznej. Dzięki temu program ten stał się jednym z najbardziej znanych zagrożeń mobilnych w 2016 roku”.

screen-graph-asacub-expansion-en

W rzeczywistości w pierwszym tygodniu po wykryciu badacze zarejestrowali ponad 6500 infekcji, przez co Asacub został najbardziej aktywnym trojanem bankowym tego tygodnia. Do tej pory zarejestrowano ponad 37 000 prób infekcji.

Lista funkcji trojana może przyprawić o ból głowy. Asacub może całkowicie przejąć kontrolę nad zainfekowanym urządzeniem z systemem Android, kraść dane (od SMS-ów po dane bankowe), przesyłać połączenia, robić zdjęcia, a nawet instalować inne szkodliwe programy, w tym prawdopodobnie programy żądające okupu.

Asacub jest wszechstronnym zestawem dla hakerów. Może zostać wykorzystany do phishingu, dystrybucji szkodliwego oprogramowania, czy nawet szantażu. Wygląda na to, że obecnie atakujący jedynie testują dostępny zestaw narzędzi, ale wiemy, że za jakiś czas zostanie on masowo użyty.

Jeśli chodzi o zabezpieczenie się przed tym zagrożeniem, jest tylko jeden sprawdzony sposób: zainstalowanie solidnego programu antywirusowego. Kaspersky Internet Security for Android wykrywa i blokuje wszystkie istniejące wersje zagrożenia Asacub. Wersja premium robi to „w locie”, a jeśli używasz darmowej wersji antywirusa, nie zapominaj regularnie uruchamiać skanowania ręcznie, aby uniknąć infekcji.

Porady