Trojan dla Androida Asacub - od kradzieży informacji po oszustwa finansowe
Zespół Kaspersky Lab wykrył nowe szkodliwe oprogramowanie Asacub, które atakuje użytkowników Androida w celu uzyskania korzyści finansowych. Asacub, gdy został zidentyfikowany po raz pierwszy, wykazywał wszystkie cechy szkodliwego oprogramowania kradnącego informacje. Okazuje się jednak, że celem niektórych wersji tego trojana są użytkownicy bankowości online w Rosji, na Ukrainie i w Stanach Zjednoczonych.
W 2015 r. cyberprzestępcy postanowili wykorzystać fakt, że miliony osób na całym świecie płacą za towary i usługi przy użyciu swoich smartfonów, i skoncentrowali swoje wysiłki na rozwoju szkodliwych programów finansowych przeznaczonych dla urządzeń mobilnych. W tym czasie po raz pierwszy w historii trojan bankowości mobilnej wszedł do zestawienia dziesięciu najbardziej rozpowszechnionych szkodliwych programów, których celem są finanse. Asacub to kolejny przykład tego niepokojącego trendu.
Pierwsza wersja trojana Asacub, wykryta w czerwcu 2015 r., potrafiła kraść listy kontaktów, historię przeglądarki i informacje o zainstalowanych aplikacjach, jak również wysyłać wiadomości SMS na określone numery oraz blokować ekran zainfekowanego urządzenia – są to standardowe funkcje typowego trojana kradnącego informacje.
Jednak jesienią 2015 r. eksperci z Kaspersky Lab wykryli kilka nowych wersji omawianego trojana, potwierdzając jego przemianę w narzędzie do kradzieży pieniędzy, przy czym nowa wersja została wyposażona w strony phishingowe podszywające się pod witryny logowania do aplikacji bankowych. Na początku wydawało się, że Asacub atakuje jedynie rosyjskojęzycznych użytkowników, ponieważ modyfikacje zawierały fałszywe strony logowania do rosyjskich i ukraińskich banków. Jednak w trakcie dalszego dochodzenia eksperci znaleźli modyfikację zawierającą fałszywe strony dużego banku amerykańskiego. Te nowe wersje zawierały również nowy zestaw funkcji, w tym przekierowywanie połączeń i wysyłanie żądań USSD (specjalna usługa interaktywnej komunikacji między użytkownikiem a dostawcą telefonii komórkowej, która nie wykorzystuje połączeń głosowych ani SMS-ów), dzięki którym Asacub stał się potężnym narzędziem umożliwiającym oszustwa finansowe.
Chociaż eksperci znali od jakiegoś czasu kilka różnych wersji trojana Asacub, aż do końca 2015 r. systemy wykrywania zagrożeń nie znalazły prawie żadnego śladu aktywnych kampanii z wykorzystaniem tego szkodnika. Następnie, w ciągu zaledwie jednego tygodnia Kaspersky Lab zidentyfikował ponad 6 500 prób zainfekowania użytkowników tym szkodliwym oprogramowaniem, które tym samym stało się jednym z 5 najpopularniejszych trojanów mobilnych oraz najpopularniejszym trojanem bankowym w tym okresie.
„Podczas analizy trojana Asacub ustaliliśmy, że posiada on powiązania z cyberprzestępcami, którym przypisuje się autorstwo oprogramowania szpiegującego o nazwie CoreBot, działającego w systemie Windows. Domena wykorzystywana przez centrum kontroli Asacuba jest zarejestrowana na tę samą osobę co dziesiątki domen wykorzystywanych przez CoreBota. Jest zatem niezwykle prawdopodobne, że te dwa rodzaje szkodliwego oprogramowania są rozwijane lub wykorzystywane przez ten sam gang, który dostrzega ogromną wartość i zysk w atakowaniu użytkowników bankowości mobilnej. Obserwując współczesne tendencje, możemy przyjąć, że w 2016 r. szkodliwe oprogramowanie bankowości mobilnej nadal będzie coraz częściej rozwijane i rozpowszechniane, stanowiąc jeszcze większy udział w atakach przy użyciu szkodliwego oprogramowania. Użytkownicy muszą być wyjątkowo czujni, aby nie stać się kolejną ofiarą” – ostrzega Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
