Исследователи «Лаборатории Касперского» проанализировали современные версии мобильного банкера Asacub. Троян появился в 2015 году как средство для шпионажа, потом постепенно расширял свои возможности, а в последний год стал одним из самых детектируемых в России троянов, предназначенных для кражи денег у владельцев Android-устройств. Однако в способах распространения зловреда за прошедшее время почти ничего не изменилось.

Asacub проникает на смартфон через вредоносные SMS-сообщения с предложением скачать фото или MMS с сайта по ссылке. Пользователь сам загружает APK-файл, полагая, что сейчас увидит картинку. Троян маскируется под «Авито» или приложения для работы с изображениями или MMS. При установке зловред запрашивает у пользователя права администратора или доступ к AccessibilityService.

С пользователем Asacub общается с грамматическими ошибками: «Система не корректно работает», «Для устраннения проблемы вам необходимо…». Также в сообщениях трояна присутствует смешение кириллических и латинских символов.

Люди по-прежнему «переходят по подозрительным ссылкам, устанавливают ПО из сторонних источников и не глядя дают приложениям любые разрешения», отмечают исследователи. Все это позволяет злоумышленникам сосредоточиться на совершенствовании не способов заражения, а самого вредоноса.

В частности, в последних версиях Asacub улучшено шифрование данных, пересылаемых между устройством и командным сервером. Кодирование осуществляется по стандарту base64 при помощи алгоритма RC4. Если раньше ключ шифрования был един для различных C&C, то в более поздних версиях стал меняться в зависимости от модификации. Преображался и способ генерации относительного пути в URL. Также время от времени злоумышленники меняют адреса командных серверов, APK-файл зловреда, а ссылки в SMS-сообщениях часто оказываются одноразовыми.

При этом сам формат общения зловреда с командным сервером во многом остался прежним, так как модификации в этой области требуют от злоумышленников множества усилий, а практической «пользы» такие коррективы почти не приносят.

Именно принцип общения банкера с командным сервером позволяет исследователям сделать вывод, что все версии Asacub появились на базе трояна Smaps. «Схожим образом формируются относительные адреса, на которые они отправляют сетевые запросы, а также пересекается набор возможных команд, которые троянцы могут выполнять. Кроме того, нумерация версий Asacub продолжает нумерацию Smaps. Основное отличие заключается в том, что Smaps передает данные открытым текстом, а Asacub шифрует данные».

Сами команды в более поздних версиях злоумышленники стали обозначать не текстом (get_sms, block_phone), а числовыми кодами. Например, 2 — это отправка на C&C-сервер списка контактов из адресной книги зараженного устройства, 7 — звонок на указанный номер, 40 — завершение приложений с указанными именами (например, антивирусных или банковских приложений).

Категории: Аналитика, Вредоносные программы, Главное