Malware évolue rapidement, et aussi les objectifs des cyber-criminels. Ainsi, un devoir le plus essentiel que les chercheurs de sécurité ont est en surveillant étroitement les morceaux de logiciels malveillants. L'équipe de recherche de Kaspersky Lab a étudié soigneusement un morceau malware particulier surnommé Asacub. Asacub a commencé comme un simple morceau de logiciel espion et semble actuellement être un cheval de Troie bancaire entièrement équipée.
Comment a-t-Asacub a commencé?
Comme l'a souligné Roman Unuchek de Kaspersky, la première version connue du logiciel malveillant – Trojan-Banker.AndroidOS.Asacub – est apparu au début de Juin 2015. À l'époque, Asacub était plus d'un cheval de Troie spyware qu'un un bancaire.
En savoir plus sur les logiciels malveillants Android:
Rootnik cheval de Troie est Ciblage Android
Comment faire pour supprimer Android / Lockerpin.A Ransomware
Ce que le début variante de Asacub a été en train de voler des messages SMS entrants depuis le téléphone de la victime, et de les télécharger sur un serveur malveillant. En outre, cette première variante pourrait aussi recueillir de l'information (telles que la liste des applications de l'utilisateur, l'historique de navigation, liste de contacts), envoyer des messages SMS, ou désactiver l'écran de l'utilisateur.
Puis, en juillet 2015, chercheurs enregistrés nouvelles versions de Asacub à laquelle de nouvelles commandes ont été ajoutées, comme:
get_sms: télécharger tous les SMS à un serveur malveillant;
del_sms: supprimer un SMS spécifié;
régler le temps: fixer un nouvel intervalle de temps pour la mise en contact du C&C;
obtenir du temps: charger l'intervalle de temps pour la mise en contact du C&C au C&Serveur C;
mute_vol: couper le téléphone;
start_alarm: activer le mode téléphone dans lequel le processeur de l'appareil continue à fonctionner lorsque l'écran devient vierge;
stop_alarm: désactiver le mode téléphone dans lequel le processeur de l'appareil continue à fonctionner lorsque l'écran devient vierge;
block_phone: éteignez l'écran du téléphone;
rev_shell: la ligne de commande à distance qui permet à un individu mal intentionné d'exécuter des commandes dans la ligne de commande de l'appareil;
intercept_start: permettre l'interception de tous les SMS entrants;
intercept_stop: désactiver l'interception de tous les SMS entrants.
L'évolution de Asacub aux Services bancaires Malware
Le logiciel malveillant n'a pas arrêté là - chaque mois prochain de nouvelles commandes et des fonctionnalités ont été ajoutées à son code, avec son évolution la plus notable étant enregistrée en Septembre. C'est quand Asacub été mis à jour afficher les écrans de phishing pour un certain nombre d'applications bancaires. Les versions les plus récentes de Asacub semblent se concentrer davantage sur le vol d'informations bancaires que ses versions antérieures. En comparaison, les versions précédentes d'un logo de la banque dans une icône, et les versions ultérieures utilisent des écrans de phishing avec des logos bancaires.
Plus tard, Asacub a été conçu pour transférer les appels téléphoniques, faire des demandes USSD, et télécharger et activer diverses applications à partir du Web.
Maintenant, sautons à Décembre 28 2015, quand les attaques Asacub sont devenus agressifs et de grande diffusion. Au cours de ce pic d'attaques, les chercheurs ont remarqué de nouvelles fonctionnalités ajoutées à l'ensemble des capacités de Asacub:
GPS_track_current - obtenir les coordonnées de l'appareil et les envoyer à l'attaquant;
camera_shot - prendre une photo avec l'appareil photo de l'appareil;
network_protocol - dans les modifications que nous connaissons, réception de cette commande ne produit aucun résultat, mais il pourrait être prévu d'utiliser dans le futur pour changer le protocole utilisé par le logiciel malveillant pour interagir avec le C&Serveur C.
Les utilisateurs doivent savoir que la communication de Asacub avec son serveur de commandement et de contrôle a révélé qu'il reçoit régulièrement des commandes pour travailler avec le service bancaire mobile d'une grande banque russe. Actuellement, Les banques américaines ne semblent pas être ciblés par le malware, mais cela pourrait changer rapidement, comme l'agenda des opérateurs malveillants peuvent rapidement prendre une autre direction.
En conclusion:
Asacub est un tout-en-un actif hacker. Il pourrait être utilisé pour du phishing, la distribution de logiciels malveillants ou même faire du chantage. Comme il semble maintenant, les adversaires sont tout simplement tester le jeu d'outils disponibles, et il y a des raisons pour lesquelles nous devrions prévoir des campagnes massives.
Référence: https://securelist.com/
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: