Asacub进化史:如何从间谍软件到银行恶意软件

jopen 9年前

Asacub进化史:如何从间谍软件到银行恶意软件

近日,安全人员对移动端银行木马Trojan-Banker.AndroidOS.Asacub进行了深入分析,发现其恶意功能随着版本的改变不断增加。

早期版本

该木马首次发现于2015年6月上旬,功能类似于间谍软件。早期的Asacub木马会窃取所有的短信并上传到恶意服务器,接收并执行C&C服务器端的以下命令:

1、get_history:向服务器上传浏览器历史记录  2、get_contacts:向服务器上传手机通讯录  3、get_listapp:向服务器上传已安装应用列表  4、block_phone:关闭手机屏幕  5、send_sms:向指定号码发送特定文本

进化版本

Asacub新版本在2015年7月中旬被发现,该版本在界面中使用欧洲银行的logo,而早期版本则主要使用美国银行的logo。

C&C服务器的命令也有所增加:

1、get_sms:向服务器上传所有短信  2、del_sms:删除指定的短信  3、set_time:为C&C链接设置新的时间间隔  4、get_time:为C&C链接上传时间间隔  5、mute_vol:将手机设置成静音  6、start_alarm:开启手机模式,当手机处于白屏状态时处理器仍能继续工作  7、stop_alarm:禁用手机模式  8、block_phone:关闭手机屏幕  9、rev_shell:允许攻击者在设备上远程执行命令  10、intercept_start:开启短信拦截模式  11、intercept_stop:禁用短信拦截模式

其中有一个比较特殊的命令:rev_shell。当接收到该命令时,Asacub会将远程服务器连接到受感染的设备控制台,以方便攻击者在设备上执行命令,并查看这些命令的输出。该功能为后门的典型功能,在银行恶意软件中很少见,因为后者的主要目的是获利,而不是控制设备。

2015年9月发现的Asacub的最新版本的功能则更侧重于窃取银行信息。之前的版本只是使用银行的logo,但是最近的版本中发现了许多使用银行logo的钓鱼界面。

Asacub进化史:如何从间谍软件到银行恶意软件

图一 钓鱼界面截图

图一界面所对应的代码名为“ActivityVTB24”,与俄罗斯一家大型银行名称相似,而该界面所对应的文本则指的是乌克兰银行Privat24。

众所周知,9月以后的版本开始出现钓鱼界面,但是也只在银行卡输入界面使用,这意味着,攻击者只是攻击他们所模仿银行的用户。软件启动后,开始窃取所有往来短信,同时也可以执行以下命令:

1、get_history:向服务器上传浏览器历史记录  2、get_contacts:向服务器上传手机通讯录  3、get_cc:显示钓鱼界面,用于获取银行卡信息  4、get_listapp:向服务器上传已安装应用列表  5、change_redir:启用呼叫转移到指定号码  6、block_phone:关闭手机屏幕  7、send_ussd:运行指定的USSD请求  8、update:下载指定链接的文件并安装  9、send_sms:向指定号码发送特定文本

最新版本

在2015年末,研究人员发现了Asacub的新版本,它可以执行如下新命令:

1、GPS_track_current:获取设备的坐标并发送给攻击者  2、camera_shot:使用相机进行截图  3、network_protocol:目前没有发现该与该命令对应的操作,但是将来可能会更改恶意软件与C&C服务器交互的协议

该版本没有钓鱼界面的相关更新,但是代码中仍然涉及到了银行。其中,它会尝试关闭一家乌克兰银行的官方软件。

Asacub进化史:如何从间谍软件到银行恶意软件

图二 关闭官方软件的代码

总结

尽管我们还没有受到Asacub攻击的波及,但是该木马对美国银行logo的盗用就是警告信号:Asacub木马在迅速发展,新的恶意功能随时可能被激活。这就意味着所有手机用户都可能成为下一个受害者。建议安全厂商能够针对此恶意软件给用户提供一个安全的解决方案。

*原文地址: securelist ,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

来自: http://www.freebuf.com/news/93961.html