マルウェアは急速に進化します, サイバー犯罪者の目標もそうです. したがって, セキュリティ研究者の最も重要な義務の1つは、マルウェアの断片を注意深く観察することです。. Kaspersky Labの研究チームは、Asacubと呼ばれる特定のマルウェアを注意深く調査しています。. Asacubは単純なスパイウェアとして始まり、現在は完全装備のバンキング型トロイの木馬のようです。.
Asacubはどのように始まったのですか?
KasperskyのRomanUnuchekが指摘したように, マルウェアの最初の既知のバージョン – トロイの木馬-Banker.AndroidOS.Asacub – 6月上旬に登場 2015. 当時, Asacubは、銀行のトロイの木馬というよりもスパイウェアのトロイの木馬でした.
Androidマルウェアの詳細:
Rootnikトロイの木馬はAndroidをターゲットにしています
Android/Lockerpin.Aランサムウェアを削除する方法
Asacubの初期の亜種が行ったことは、被害者の電話から着信SMSメッセージを盗むことでした。, 悪意のあるサーバーにアップロードします. 加えて, この初期の亜種は情報を収集することもできます (ユーザーのアプリケーションリストなど, 閲覧履歴, 連絡先リスト), SMSメッセージを送信する, またはユーザーの画面をオフにします.
それで, 7月に 2015, 研究者は、新しいコマンドが追加されたAsacubの新しいバージョンを登録しました, そのような:
get_sms: すべてのSMSを悪意のあるサーバーにアップロードする;
del_sms: 指定したSMSを削除する;
set_time: Cに連絡するための新しい時間間隔を設定します&C;
時間をもらう: Cに連絡するための時間間隔をアップロードする&CからC&Cサーバー;
mute_vol: 電話をミュートする;
start_alarm: 画面が空白になったときにデバイスプロセッサが実行し続ける電話モードを有効にする;
stop_alarm: 画面が空白になったときにデバイスプロセッサが実行し続ける電話モードを無効にする;
block_phone: 電話の画面をオフにします;
rev_shell: サイバー犯罪者がデバイスのコマンドラインでコマンドを実行できるようにするリモートコマンドライン;
インターセプトスタート: すべての着信SMSの傍受を有効にする;
インターセプトストップ: すべての着信SMSの傍受を無効にする.
Asacubのバンキングマルウェアへの進化
マルウェアはそこで止まりませんでした–来月、新しいコマンドと機能がコードに追加されました, その最も顕著な進化は9月に登録されています. これは、Asacubが更新され、多くの銀行アプリケーションのフィッシング画面が表示されるようになったときです。. Asacubのこれらの最新バージョンは、以前のバージョンよりも銀行情報の盗難に重点を置いているようです。. 比較において, 以前のバージョンでは、アイコンに銀行のロゴが使用されていました, 以降のバージョンでは、銀行のロゴが付いたフィッシング画面を使用しています.
後で, Asacubは電話を転送するために作られました, USSDリクエストを行う, Webからさまざまなアプリをダウンロードしてアクティブ化します.
今, 12月にジャンプしましょう 28 2015, Asacubの攻撃が攻撃的で広範囲に及んだとき. この攻撃のピーク時, 研究者は、Asacubの一連の機能に追加された新機能に気づきました:
GPS_track_current –デバイスの座標を取得し、攻撃者に送信します;
camera_shot –デバイスのカメラでスナップショットを撮ります;
network_protocol –私たちが知っているこれらの変更で, このコマンドを受け取っても結果は得られません, ただし、将来的には、マルウェアがCと対話するために使用するプロトコルを変更するためにそれを使用する計画がある可能性があります。&Cサーバー.
ユーザーは、Asacubとそのコマンドおよび制御サーバーとの通信により、ロシアの大手銀行のモバイルバンキングサービスと連携するコマンドを定期的に受信していることが明らかになったということを知っておく必要があります。. 現在, 米国の銀行はマルウェアの標的になっていないようですが、これはすぐに変わる可能性があります, マルウェアオペレーターの議題はすぐに別の方向に進む可能性があるため.
結論は:
Asacubはオールインワンのハッカー資産です. フィッシングに使用される可能性があります, マルウェアの配布、さらには恐喝. 今のように, 敵は利用可能なツールセットをテストしているだけです, 大規模なキャンペーンを予想する必要がある理由があります.