Плохо забытое старое: «Лаборатория Касперского» снова встретилась с трояном-банкером Asacub

Опубликовано at 30.08.2018
80 0

«Лаборатория Касперского» давно и с любопытством следит за извилистой биографией мобильного банкера Asacub. Троян появился в 2015 году, тогда он использовался как средство для шпионажа. Затем следовал период карьерных метаний и постепенного расширения функциональных возможностей.

И вот — Asacub неожиданно вновь заявил о себе, уже в качестве вора-троянца у владельцев Android-устройств. Причем — одного из самых детектируемых в России троянов такого рода.

Тем не менее, заключают эксперты «Лаборатории Касперского», вскрывая брюшко зловреду и анализируя его повадки, в способах распространения Asacub за прошедшее время особенно ничего не изменилось.

Алгоритм заражения Asacub такой: вирус проникает на смартфон через вредоносные SMS-сообщения с предложением скачать фото или MMS с сайта по ссылке. Пользователь сам загружает APK-файл, полагая, что сейчас увидит картинку. Троян маскируется под «Авито» или приложения для работы с изображениями или MMS. При установке зловред честно запрашивает у пользователя права администратора или доступ к AccessibilityService.

Вспыхивают все возможные «красные флаги»: так, с пользователем Asacub общается с грамматическими ошибками: «Система не корректно работает», «Для устраннения проблемы вам необходимо…», идет помесь латиницы и кириллицы. А люди? Люди по-прежнему «переходят по подозрительным ссылкам, устанавливают ПО из сторонних источников и не глядя дают приложениям любые разрешения», отмечают исследователи.

Знание того, что пипл и так «схавает» вредонос даже со столь топорной логистикой, это позволяет злоумышленникам сосредоточиться на совершенствовании не способов заражения, а самого вредоноса. АКБ ранее публиковал видео экспериментальной установки, по видимому, как раз трояна Asacub — она и впрямь требует приложения недюжинных усилий от самого пользователя. Прав был Кевин Митник — социальная инженерия (читай, гарантированная глупость) это уже полпобеды.

Как программно модифицирован Asacub за минувшие годы? Эксперты говорят, что в последних версиях зловреда улучшено шифрование данных, пересылаемых между устройством и командным сервером. Кодирование осуществляется по стандарту base64 при помощи алгоритма RC4. Если раньше ключ шифрования был един для различных C&C, то в более поздних версиях стал меняться в зависимости от модификации. Преображался и способ генерации относительного пути в URL. Вместе с тем, сам формат общения зловреда с командным сервером во многом остался прежним.

Сами команды в более поздних версиях злоумышленники стали обозначать не текстом (get_sms, block_phone), а числовыми кодами. Например, 2 — это отправка на C&C-сервер списка контактов из адресной книги зараженного устройства, 7 — звонок на указанный номер, 40 — завершение приложений с указанными именами (например, антивирусных или банковских приложений).

Подписываемся, следим @CyberAgency

Related Post

Расхитительница «телег». Досье на судью, запретившую мессенджер Дурова

Опубликовано - 13.04.2018 0
37-летняя судья Юлия Михайловна Смолина специализируется на гражданских делах. Последние три десятка дел связаны с вьетнамцами. На сайте “Суды России”…

ФБР вычисляет виртуальных педофилов с помощью торрент-клиентов

Опубликовано - 20.04.2017 0
Федеральное бюро расследований США использует модифицированные торрент-клиенты, чтобы идентифицировать пользователей, загружающих и распространяющих детскую порнографию. Об этом сообщил вчера портал…

Корсаров за борт без суда и следствия: поисковики обяжут во внесудебном порядке гасить пиратские сайты

Опубликовано - 17.10.2018 0
Минкомсвязи и Минкультуры работают совместно над поправками, которые обяжут работающие в России поисковики во внесудебном порядке удалять ссылки на пиратские…

Добавить комментарий