«Лаборатория Касперского» изучила современные версии Asacub

 
 

Исследователи «Лаборатории Касперского» проанализировали современные версии мобильного банкера Asacub. Троян появился в 2015 году как средство для шпионажа, потом постепенно расширял свои возможности, а в последний год стал одним из самых детектируемых в России троянов, предназначенных для кражи денег у владельцев Android-устройств. Однако в способах распространения зловреда за прошедшее время почти ничего не изменилось.
Asacub проникает на смартфон через вредоносные SMS-сообщения с предложением скачать фото или MMS с сайта по ссылке. Пользователь сам загружает APK-файл, полагая, что сейчас увидит картинку. Троян маскируется под «Авито» или приложения для работы с изображениями или MMS. При установке зловред запрашивает у пользователя права администратора или доступ к AccessibilityService.

Показать связанные сообщения

Южнокорейские компании атакованы через цепочку поставок
23 августа 2018 , 16:05
У группировки Lazarus появился новый шифровальщик
23 августа 2018 , 09:30
Спамеры снова рассылают AZORult и обновленный Hermes
21 августа 2018 , 17:09
С пользователем Asacub общается с грамматическими ошибками: «Система не корректно работает», «Для устраннения проблемы вам необходимо…». Также в сообщениях трояна присутствует смешение кириллических и латинских символов.
Люди по-прежнему «переходят по подозрительным ссылкам, устанавливают ПО из сторонних источников и не глядя дают приложениям любые разрешения», отмечают исследователи. Все это позволяет злоумышленникам сосредоточиться на совершенствовании не способов заражения, а самого вредоноса.
В частности, в последних версиях Asacub улучшено шифрование данных, пересылаемых между устройством и командным сервером. Кодирование осуществляется по стандарту base64 при помощи алгоритма RC4. Если раньше ключ шифрования был един для различных C&C, то в более поздних версиях стал меняться в зависимости от модификации. Преображался и способ генерации относительного пути в URL. Также время от времени злоумышленники меняют адреса командных серверов, APK-файл зловреда, а ссылки в SMS-сообщениях часто оказываются одноразовыми.
При этом сам формат общения зловреда с командным сервером во многом остался прежним, так как модификации в этой области требуют от злоумышленников множества усилий, а практической «пользы» такие коррективы почти не приносят.
Именно принцип общения банкера с командным сервером позволяет исследователям сделать вывод, что все версии Asacub появились на базе трояна Smaps. «Схожим образом формируются относительные адреса, на которые они отправляют сетевые запросы, а также пересекается набор возможных команд, которые троянцы могут выполнять. Кроме того, нумерация версий Asacub продолжает нумерацию Smaps. Основное отличие заключается в том, что Smaps передает данные открытым текстом, а Asacub шифрует данные».
Сами команды в более поздних версиях злоумышленники стали обозначать не текстом (get_sms, block_phone), а числовыми кодами. Например, 2 — это отправка на C&C-сервер списка контактов из адресной книги зараженного устройства, 7 — звонок на указанный номер, 40 — завершение приложений с указанными именами (например, антивирусных или банковских приложений).

Добавить комментарий