20 января 2016

Как троянец-шпион Asacub стал троянцем-вором

Безопасность Новости Угрозы

«Лаборатория Касперского» обнаружила банковский троянец Asacub, который в январе начал активно атаковать пользователей Android-устройств. Нашим экспертам удалось проследить несколько стадий его эволюции.

Как троянец-шпион Asacub стал троянцем-вором

Банковский троянец — это зловредная программа, которая устанавливается на устройство пользователя и тем или иным образом ворует данные его банковских карт. Современные версии трояна Asacub (а их несколько, для разных банков) делают это, подсовывая пользователям мобильных приложений этих банков фишинговые окна, требующие ввести информацию с кредитной карты. Понятное дело, дальше эта информация отправляется совсем не в банк.

Поначалу исследователи считали, что Asacub нацелен только на Россию и Украину, поскольку фишинговые окна демонстрировали логотипы российских или украинских банков. Однако впоследствии выяснилось, что есть версия и для США — обнаружился вариант с логотипом крупнейшего американского банка. Других способов перехвата банковской информации, помимо различных фишинговых экранов, Asacub не использует, то есть похоже, что злоумышленники выбрали своей целью только пользователей определенных банков.

Как троянец-шпион Asacub стал троянцем-вором

Однако на самом деле Asacub способен на большее. К тому же он не всегда был таким — да и вообще не всегда был банковским троянцем. Начинал он с пакостей попроще.

Первую версию зловреда, семейство которых затем получило название Trojan-Banker.AndroidOS.Asacub, сотрудники «Лаборатории Касперского» обнаружили в июне 2015 года. Тогда это был типичный образчик фишинговой программы, контролируемой удаленно, из командного центра.

Будучи установленной на устройство, первая версия Asacub могла отправлять на сервер злоумышленников список установленных приложений, историю браузера и список контактов. Также «ранний Asacub» был способен отправлять SMS-сообщения на указанный номер и выключать по команде экран телефона.

Уже в июле обнаружилась другая версия Asacub, арсенал возможностей которой был значительно расширен. В дополнение к тому, что умела первая версия, «июльский Asacub» научился менять периодичность контакта с сервером злоумышленников, перехватывать или удалять SMS и загружать историю общения по SMS на сервер.

Обновленная версия получила возможность обнулять громкость телефона, оставлять процессор активным при выключенном экране и, самое интересное, предоставлять киберзлодеям доступ к командной строке устройства. Последнее характерно для бэкдоров, а в мобильных банковских троянцах почти не встречается. Уже начиная с этой версии Asacub стал чем-то большим, чем просто фишинговая программа.

К нынешнему же состоянию и роду деятельности Asacub пришел в сентябре. В дополнение ко всему перечисленному, как мы уже говорили, троянец научился показывать фишинговые экраны для банковских приложений. Также добавилась возможность включать переадресацию звонков на заданный номер, отправлять USSD-запросы, загружать файлы по заданной ссылке и устанавливать их.

До недавнего времени Asacub практически никак не проявлял себя — сотрудникам «Лаборатории Касперского» было известно несколько вариаций, однако массовых атак с их использованием не наблюдалось… до конца 2015 года. Один из отловивших Asacub аналитиков, Роман Унучек, описывает ситуацию так: «Активность данного зловреда была практически незаметной, но на новогодние праздники злоумышленники стали очень активно его распространять — таким образом он стал одним из самых популярных мобильных зловредов начала 2016 года».

Как троянец-шпион Asacub стал троянцем-вором

И действительно, за первую неделю было зафиксировано 6500 попыток заразить пользователей этим зловредом, что делает его самым активным банковским троянцем за эту неделю. Всего на данный момент зафиксировано более 37 000 попыток заражения.

Если посмотреть на список возможностей троянца, становится немного не по себе: по сути, попав на Android-смартфон, современные версии Asacub могут делать на нем практически что угодно — воровать любую информацию, от SMS до данных банковских карт, перенаправлять звонки, делать снимки встроенной камерой и даже устанавливать новых зловредов, включая, скажем, троянов-шифровальщиков.

Asacub выглядит практически универсальным — злоумышленники потенциально могут использовать его для фишинга, для распространения других вредоносных программ и даже для шантажа. Судя по всему, пока они только исследуют создавшиеся возможности — но не исключено, что впереди серьезная эпидемия.

Защититься от этой дряни можно, по сути, единственным способом — использовать антивирусное ПО. Kaspersky Internet Security для Android определяет и блокирует все версии Asacub. Премиум-версия делает это сразу же, что называется, на лету, тогда как при использовании бесплатной надо не забывать проводить периодические сканирования вручную.