Аналитики «Лаборатории Касперского» сообщили о новой кампании банковского трояна Asacub. По оценкам специалистов, каждый день зловред атакует 40 тыс. пользователей, преимущественно из России.

Этот троян знаком ИБ-экспертам уже несколько лет. В 2016-2017 годах он входил в список самых деятельных вредоносов, провоцируя по несколько тысяч инцидентов в неделю. Создатели Asacub активно работают над своим продуктом — за время наблюдений набор опасных функций постоянно рос и на данный момент включает компрометацию списка контактов, совершение звонков, перехват SMS и обеспечение root-доступа к ОС зараженного аппарата.

Специалисты «Лаборатории Касперского» полагают, что Asacub эволюционировал из трояна SMS.AndroidOS.Smaps. Об этом говорит сходство в коммуникациях с командным сервером, набор выполняемых команд и прочие особенности технического характера.

«Основное отличие заключается в том, что Smaps передает данные открытым текстом, а Asacub зашифровывает данные алгоритмом RC4 и затем кодирует в формат base64», — рассказала Татьяна Шишкова, антивирусный эксперт «Лаборатории Касперского».

Нынешняя кампания стартовала в июне и к сентябрю поразила 250 тыс. пользователей. Из этого числа 98% инцидентов приходится на Россию. Список пострадавших стран также включает Украину, Турцию, Германию, Белоруссию, Польшу, Армению, Казахстан и США.

По информации «Лаборатории Касперского», Asacub распространяется через SMS, где адресату предлагают перейти по ссылке для просмотра некоего изображения. Чтобы втереться в доверие, организаторы кампании нередко обращаются к пользователю по имени, которое они узнают из телефонных книг уже скомпрометированных устройств.

На открывшейся по клику странице пользователю предлагают скачать установщик Asacub под видом некой другой программы. В каждом конкретном случае функции приложения-ширмы меняются — это может быть просмотр MMS, управление SMS, размещение бесплатных объявлений.

После установки троян, в зависимости от версии, требует права администратора или разрешение на использование службы «Cпециальных возможностей». Этот запрос появляется каждые несколько секунд, пока пользователь не одобрит его. После этого Asacub назначает себя стандартным приложением для обработки SMS-сообщений и начинает зловредную активность.

Троян скрытно переводит средства на другие счета по номеру карты или мобильного телефона, скрывая при этом SMS, полученные от банка, чтобы жертва не узнала о списании. Некоторые версии умеют автоматически распознавать во входящих сообщениях коды подтверждения операций.

По команде управляющего сервера Asacub запрещает запуск банковских приложений на зараженном устройстве. В результате пользователь не может проверить свой баланс и изменить какие-либо настройки.

Чтобы избежать кражи, эксперты рекомендуют скачивать приложения только из официальных источников и не переходить по подозрительным ссылкам, даже если они приходят от друзей или знакомых.

Категории: Вредоносные программы, Главное, Мошенничество