L’evoluzione del trojan Asacub: da pesciolino ad arma di ultima generazione

20 Gen 2016

Kaspersky Lab ha scoperto Asacub, un trojan banker che ha cominciato ad attaccare attivamente gli utenti Android a gennaio. I nostri esperti sono riusciti a tracciare la sua evoluzione passo dopo passo.

asacub-trojan-featured

Un trojan bancario è un tipo di malware, installato su un dispositivo mobile, che impiega certe tecniche per sottrarre denaro dalle carte di credito dell’utente. Versioni recenti di Asacub inducono l’utente a inserire le credenziali della carta tramite tecniche di phishing. Ovviamente, questi dati non finiscono nelle mani di una banca autorizzata.

Dapprima, i ricercatori suggerirono che il trojan bancario stesse prendendo di mira esclusivamente la Russia e l’Ucraina, poiché le foto utilizzate nell’attacco di phishing somigliavano alle pagine d’accesso di alcune banche di questi paesi. Tuttavia, ulteriori indagini hanno permesso ai ricercatori di Kaspersky Lab d’identificare un’ulteriore versione prevista per gli utenti degli Stati Uniti, dato che un’altra pagina di phishing vantava il logo di un’importante banca americana. Oltre alle pagine di accesso fasullo, il malware non fa ricorso ad altri mezzi di sottrazione di dati della carta di credito. Sembra quindi che i creatori di Asacub abbiano puntato solo ad alcune banche specifiche.

bank_screen-3

Ciò nonostante, Asacub è molto più di una semplice truffa di phishing, malgrado ai suoi esordi fosse un malware molto semplice. Infatti si è evoluto nel tempo, da piccolo pesciolino a pesce grosso.

La prima iterazione del malware, la cui famiglia viene individuata dai prodotti di Kaspersky Lab come “Trojan-Banker.AndroidOS.Asacub”, è stata scoperta dal nostro team di ricerca nel giugno del 2015. A quei tempi era un comune campione di un programma di phishing, gestito a distanza da un comando e da un server di controllo.

Installata sul dispositivo colpito, la prima versione di Asacub era in grado di mandare certe informazioni, incluse la lista delle app, la cronologia di navigazione e la lista dei contatti, a un server C&C remoto. Il primo Asacub poteva anche inviare messaggi SMS a un particolare numero di telefono e spegnere lo schermo a comando, nient’altro.

Una nuova versione di Asacub, fornita di mezzi più avanzati, è stata scoperta a luglio. In aggiunta, era in grado di controllare i cicli della comunicazione C&C, intercettare o cancellare i messaggi di testo e caricare la cronologia degli SMS su un server remoto.

La versione più recente possedeva una manciata di altre funzionalità: poteva rendere muto il telefono, mantenere la CPU attiva anche a schermo spento e, cosa ancora più importante, fornire ai delinquenti l’accesso alla console. L’ultima è una classica caratteristica backdoor ed è raramente utilizzata dai banker mobile. Da quella versione in poi, Asacub è diventato qualcosa di più rilevante di un semplice programma di phishing.

Infine, Asacub è divenuto ciò che è ora a settembre. In aggiunta agli elementi già menzionati, ha iniziato a impiegare pagine di phishing per sottrarre dati di carte di credito in app selezionate di banking mobile, ha imparato a inoltrare le chiamate della vittima a un particolare numero di telefono, a mandare richieste USSD e a scaricare e avviare file da URL pericolosi.

Fino a poco tempo fa, Asacub preferiva volare basso: i ricercatori di Kaspersky Lab erano a conoscenza di diverse iterazioni del malware ma non hanno notato attacchi massicci che lo impiegavano, finché sono riusciti a individuarne diversi durante le vacanze di Natale. Roman Unucek, uno degli esperti che ha scoperto Asacub, dice:

“Il malware è rimasto fuori dal nostro radar fino a poco tempo fa, quando gli aggressori hanno cominciato a distribuire attivamente Asacub durante il periodo natalizio, che infine ha reso Asacub una delle minacce ai cellulari più famigerate del 2016”.

Asacub IT
Infatti, i ricercatori hanno registrato oltre 6.500 localizzazioni in una sola settimana, il che rende Asacub il banker più attivo nell’arco di sette giorni.

Uno sguardo veloce alla lista delle funzioni del trojan vi farebbe vedere i sorci verdi. Con un dispositivo Android infetto, Asacub assume il controllo totale del sistema. Sarebbe capace di sottrarre dati (dai messaggi SMS alle credenziali bancarie), inoltrare chiamate, scattare foto e perfino installare altri malware che probabilmente includono ransomware.

Asacub è una risorsa hacker “tutto compreso”. Potrebbe essere usato per il phishing, la distribuzione di malware e perfino l’estorsione. A quanto pare, finora gli aggressori stanno solo testando i mezzi a loro disposizione, e abbiamo buone ragioni per pensare che ci dobbiamo aspettare attacchi massicci.

Esiste solo un modo efficiente per proteggersi da questa minaccia: un antivirus potente. Kaspersky Internet Security per Android è in grado di individuare e bloccare tutte le versioni esistenti di Asacub. Una versione premium può farlo al volo. Se ne usate una gratuita, non dimenticate di avviare regolarmente scansioni manuali per prevenire l’infezione.