Как троянец-шпион Asacub стал троянцем-вором

«Лаборатория Касперского» обнаружила банковский троянец Asacub, который в январе начал активно атаковать пользователей Android-устройств. Нашим экспертам удалось проследить несколько стадий его эволюции.

Банковский троянец — это зловредная программа, которая устанавливается на устройство пользователя и тем или иным образом ворует данные его банковских карт. Современные версии трояна Asacub (а их несколько, для разных банков) делают это, подсовывая пользователям мобильных приложений этих банков фишинговые окна, требующие ввести информацию с кредитной карты. Понятное дело, дальше эта информация отправляется совсем не в банк.

Поначалу исследователи считали, что Asacub нацелен только на Россию и Украину, поскольку фишинговые окна демонстрировали логотипы российских или украинских банков. Однако впоследствии выяснилось, что есть версия и для США — обнаружился вариант с логотипом крупнейшего американского банка. Других способов перехвата банковской информации, помимо различных фишинговых экранов, Asacub не использует, то есть похоже, что злоумышленники выбрали своей целью только пользователей определенных банков.

Однако на самом деле Asacub способен на большее. К тому же он не всегда был таким — да и вообще не всегда был банковским троянцем. Начинал он с пакостей попроще.

Первую версию зловреда, семейство которых затем получило название Trojan-Banker.AndroidOS.Asacub, сотрудники «Лаборатории Касперского» обнаружили в июне 2015 года. Тогда это был типичный образчик фишинговой программы, контролируемой удаленно, из командного центра.

Рассказали вот, почему главной мобильной угрозой сейчас являются банковские трояны: https://t.co/oVZe2wkwDT pic.twitter.com/HCnwWwjla5

— Kaspersky (@Kaspersky_ru) September 30, 2015

Будучи установленной на устройство, первая версия Asacub могла отправлять на сервер злоумышленников список установленных приложений, историю браузера и список контактов. Также «ранний Asacub» был способен отправлять SMS-сообщения на указанный номер и выключать по команде экран телефона.

Уже в июле обнаружилась другая версия Asacub, арсенал возможностей которой был значительно расширен. В дополнение к тому, что умела первая версия, «июльский Asacub» научился менять периодичность контакта с сервером злоумышленников, перехватывать или удалять SMS и загружать историю общения по SMS на сервер.

Обновленная версия получила возможность обнулять громкость телефона, оставлять процессор активным при выключенном экране и, самое интересное, предоставлять киберзлодеям доступ к командной строке устройства. Последнее характерно для бэкдоров, а в мобильных банковских троянцах почти не встречается. Уже начиная с этой версии Asacub стал чем-то большим, чем просто фишинговая программа.

Банковский троянец Faketoken атакует смартфоны в 55 странах, включая Россию, Украину и США: http://t.co/6bIRNSwrt0

— Kaspersky (@Kaspersky_ru) April 17, 2014

К нынешнему же состоянию и роду деятельности Asacub пришел в сентябре. В дополнение ко всему перечисленному, как мы уже говорили, троянец научился показывать фишинговые экраны для банковских приложений. Также добавилась возможность включать переадресацию звонков на заданный номер, отправлять USSD-запросы, загружать файлы по заданной ссылке и устанавливать их.

До недавнего времени Asacub практически никак не проявлял себя — сотрудникам «Лаборатории Касперского» было известно несколько вариаций, однако массовых атак с их использованием не наблюдалось… до конца 2015 года. Один из отловивших Asacub аналитиков, Роман Унучек, описывает ситуацию так: «Активность данного зловреда была практически незаметной, но на новогодние праздники злоумышленники стали очень активно его распространять — таким образом он стал одним из самых популярных мобильных зловредов начала 2016 года».

И действительно, за первую неделю было зафиксировано 6500 попыток заразить пользователей этим зловредом, что делает его самым активным банковским троянцем за эту неделю. Всего на данный момент зафиксировано более 37 000 попыток заражения.

Как троянец-шпион #Asacub стал троянцем-вором. #безопасность #онлайн-финансы

Tweet

Если посмотреть на список возможностей троянца, становится немного не по себе: по сути, попав на Android-смартфон, современные версии Asacub могут делать на нем практически что угодно — воровать любую информацию, от SMS до данных банковских карт, перенаправлять звонки, делать снимки встроенной камерой и даже устанавливать новых зловредов, включая, скажем, троянов-шифровальщиков.

Asacub выглядит практически универсальным — злоумышленники потенциально могут использовать его для фишинга, для распространения других вредоносных программ и даже для шантажа. Судя по всему, пока они только исследуют создавшиеся возможности — но не исключено, что впереди серьезная эпидемия.

Как обезопасить банковские операции в интернете от киберпреступников? #деньги #безопасность https://t.co/sxPIDEn42H pic.twitter.com/gvjtTN8q90

— Kaspersky (@Kaspersky_ru) November 27, 2014

Защититься от этой дряни можно, по сути, единственным способом — использовать антивирусное ПО. Kaspersky Internet Security для Android определяет и блокирует все версии Asacub. Премиум-версия делает это сразу же, что называется, на лету, тогда как при использовании бесплатной надо не забывать проводить периодические сканирования вручную.