Malware udvikler sig hurtigt, og det samme gør målene for cyberkriminelle. Således, en mest afgørende opgave at sikkerhedseksperter har nøje observation malware stykker. Kaspersky Labs forskergruppe er nøje studere en bestemt malware stykke døbt Asacub. Asacub startede som et simpelt spyware-stykke og ser i øjeblikket ud til at være en fuldt udstyret bank-trojan.
Hvordan er Asacub startet?
Som påpeget af Kasperskys Roman Unuchek, den første kendte version af malware – Trojan-Banker.AndroidOS.Asacub – dukkede op i begyndelsen af juni 2015. Dengang, Asacub var mere en spyware -trojan end en bank.
Lær mere om Android Malware:
Rootnik Trojan er målrettet mod Android
Sådan fjernes Android/Lockerpin.A Ransomware
Hvad den tidlige variant af Asacub gjorde var at stjæle indgående SMS -beskeder fra offerets telefon, og uploade dem til en ondsindet server. Desuden, denne tidlige variant kunne også indsamle oplysninger (f.eks. brugerens liste over applikationer, browserhistorik, kontakt liste), sende sms -beskeder, eller sluk for brugerens skærm.
Derefter, i juli 2015, forskere registrerede nye versioner af Asacub, hvortil der blev tilføjet nye kommandoer, såsom:
get_sms: uploade alle sms'er til en ondsindet server;
del_sms: slet en bestemt SMS;
fastsat tidspunkt: indstil et nyt tidsinterval for kontakt til C&C;
get_time: uploade tidsintervallet for kontakt til C&C til C&C server;
mute_vol: slå telefonen fra;
start_alarm: aktiver telefontilstand, hvor enhedsprocessoren fortsætter med at køre, når skærmen bliver tom;
stop_alarm: deaktiver telefontilstand, hvor enhedsprocessoren fortsætter med at køre, når skærmen bliver tom;
blok_telefon: slukke telefonens skærm;
rev_shell: fjernkommandolinje, der gør det muligt for en cyberkriminel at udføre kommandoer i enhedens kommandolinje;
intercept_start: muliggøre aflytning af alle indgående SMS'er;
intercept_stop: deaktiver aflytning af alle indgående SMS'er.
Asacub Evolution to Banking Malware
Malware stoppede ikke der - hver næste måned blev nye kommandoer og muligheder tilføjet til dens kode, med sin mest bemærkelsesværdige udvikling registreret i september. Det var da Asacub blev opdateret til visning af phishing -skærme til en række bankapplikationer. De seneste versioner af Asacub ser ud til at være mere fokuseret på at stjæle bankoplysninger end dens tidligere versioner. Sammenlignet med, tidligere versioner brugte et banklogo i et ikon, og senere versioner bruger phishing -skærme med banklogoer.
Senere, Asacub blev designet til at viderestille telefonopkald, fremsende USSD -anmodninger, og download og aktiver forskellige apps fra Internettet.
Nu, lad os springe til december 28 2015, da Asacub-angrebene blev aggressive og udbredte. I løbet af denne angrebstop, forskere lagde mærke til nye funktioner tilføjet til Asacub's sæt muligheder:
GPS_track_current - hent enhedens koordinater og send dem til angriberen;
camera_shot - tag et øjebliksbillede med enhedens kamera;
network_protocol - i de ændringer, vi kender til, at modtage denne kommando giver ingen resultater, men der kan være planer om at bruge det i fremtiden til at ændre den protokol, som malware bruger til at interagere med C&C server.
Brugere bør vide, at Asacubs kommunikation med sin kommando- og kontrolserver afslørede, at den regelmæssigt modtager kommandoer til at arbejde med mobilbanktjenesten i en større russisk bank. I øjeblikket, Amerikanske banker ser ikke ud til at være målrettet mod malware, men dette kan hurtigt ændre sig, da malware -operatørernes dagsorden hurtigt kan tage en anden retning.
Afslutningsvis:
Asacub er et alt-i-ét hacker-aktiv. Det kunne bruges til phishing, malware -distribution eller endda afpresning. Som det ser ud nu, modstanderne tester bare det tilgængelige værktøjssæt, og der er grunde til, at vi bør foregribe massive kampagner.
Reference: https://securelist.com/