Плохо забытое старое: «Лаборатория Касперского» снова встретилась с трояном-банкером Asacub

Опубликовано at 30.08.2018
25 0

«Лаборатория Касперского» давно и с любопытством следит за извилистой биографией мобильного банкера Asacub. Троян появился в 2015 году, тогда он использовался как средство для шпионажа. Затем следовал период карьерных метаний и постепенного расширения функциональных возможностей.

И вот — Asacub неожиданно вновь заявил о себе, уже в качестве вора-троянца у владельцев Android-устройств. Причем — одного из самых детектируемых в России троянов такого рода.

Тем не менее, заключают эксперты «Лаборатории Касперского», вскрывая брюшко зловреду и анализируя его повадки, в способах распространения Asacub за прошедшее время особенно ничего не изменилось.

Алгоритм заражения Asacub такой: вирус проникает на смартфон через вредоносные SMS-сообщения с предложением скачать фото или MMS с сайта по ссылке. Пользователь сам загружает APK-файл, полагая, что сейчас увидит картинку. Троян маскируется под «Авито» или приложения для работы с изображениями или MMS. При установке зловред честно запрашивает у пользователя права администратора или доступ к AccessibilityService.

Вспыхивают все возможные «красные флаги»: так, с пользователем Asacub общается с грамматическими ошибками: «Система не корректно работает», «Для устраннения проблемы вам необходимо…», идет помесь латиницы и кириллицы. А люди? Люди по-прежнему «переходят по подозрительным ссылкам, устанавливают ПО из сторонних источников и не глядя дают приложениям любые разрешения», отмечают исследователи.

Знание того, что пипл и так «схавает» вредонос даже со столь топорной логистикой, это позволяет злоумышленникам сосредоточиться на совершенствовании не способов заражения, а самого вредоноса. АКБ ранее публиковал видео экспериментальной установки, по видимому, как раз трояна Asacub — она и впрямь требует приложения недюжинных усилий от самого пользователя. Прав был Кевин Митник — социальная инженерия (читай, гарантированная глупость) это уже полпобеды.

Как программно модифицирован Asacub за минувшие годы? Эксперты говорят, что в последних версиях зловреда улучшено шифрование данных, пересылаемых между устройством и командным сервером. Кодирование осуществляется по стандарту base64 при помощи алгоритма RC4. Если раньше ключ шифрования был един для различных C&C, то в более поздних версиях стал меняться в зависимости от модификации. Преображался и способ генерации относительного пути в URL. Вместе с тем, сам формат общения зловреда с командным сервером во многом остался прежним.

Сами команды в более поздних версиях злоумышленники стали обозначать не текстом (get_sms, block_phone), а числовыми кодами. Например, 2 — это отправка на C&C-сервер списка контактов из адресной книги зараженного устройства, 7 — звонок на указанный номер, 40 — завершение приложений с указанными именами (например, антивирусных или банковских приложений).

Подписываемся, следим @CyberAgency

Related Post

В Сингапуре придумали механизм бесперебойного питания умных устройств

Опубликовано - 07.05.2018 0
Инженеры Национального университета Сингапура (NUS) озадачились решением насущной проблемы: в умных устройствах батареи во много раз больше и дороже, чем,…

Паттерны прикосновений: починка тачскрина может подсадить шпиона в ваш телефон

Опубликовано - 10.07.2018 0
Специалисты Университета имени Давида Бен-Гуриона в Негеве (Израиль) продемонстрировали, как злоумышленник может определить данные, вводимые пользователем на сенсорном экране. Данные…

Атака на госуслуги

Опубликовано - 08.02.2017 0
Порталы московского правительства убедительно «лидируют» по количеству онлайн-нападений.  Как сообщает пресс-центр департамента информационных технологий Москвы, во второй половине 2016 года…

Добавить комментарий