Il Trojan Asacub, da spyware a banker

Poco tempo fa, analizzando la famiglia di Trojan bancari per piattaforme mobile denominata Trojan-Banker.AndroidOS.Asacub, abbiamo rilevato che uno dei centri di comando e controllo (C&C) di cui fanno uso i cybercriminali (individuato, di fatto, sia riguardo alla primissima delle varianti del Trojan a noi note, sia in alcune delle varianti più recenti dello stesso), riconducibile all’indirizzo chugumshimusona[.]com, viene ugualmente utilizzato nell’ambito di CoreBot, noto Trojan-spyware appositamente creato dai virus writer per colpire l’OS Windows. In relazione a quanto scoperto, abbiamo deciso di esaminare in maniera ancor più dettagliata il malware mobile in questione.

Le prime varianti, a noi note, di Asacub hanno fatto la loro comparsa sulla scena del malware nella prima metà del mese di giugno 2015; in base alle caratteristiche e alle funzionalità evidenziate, esse risultavano decisamente più vicine ai Trojan-spyware che ai programmi malevoli specificamente destinati alla sfera bancaria. Inizialmente, Asacub carpiva tutti gli SMS in entrata, indipendentemente dal mittente dei messaggi, e provvedeva poi a trasmettere gli stessi al server allestito dai malintenzionati. Nel complesso, il Trojan era in grado di ricevere dal C&C e di elaborare i seguenti comandi:

  • get_history – caricare sul server predisposto dai malfattori la cronologia del browser web;
  • get_contacts – caricare sul server dei malintenzionati l’elenco dei contatti;
  • get_listapp – caricare sul server malevolo l’elenco delle applicazioni installate;
  • block_phone – spegnere lo schermo del telefono;
  • send_sms – inviare un SMS con un determinato testo ad uno specifico numero telefonico.

Nuove varianti di Asacub sono poi apparse nella seconda metà del mese di luglio 2015. I file a noi noti utilizzavano, a livello di interfaccia, i loghi appartenenti ad organizzazioni finanziarie europee, a differenza delle prime versioni del Trojan, che facevano uso del logo di una delle più importanti banche americane.

Inoltre, risultava sensibilmente aumentato il numero dei comandi che possono essere eseguiti da Asacub:

  • get_sms – caricare sul server dei malintenzionati tutti gli SMS;
  • del_sms – eliminare un determinato SMS;
  • set_time – modificare l’intervallo di tempo previsto per comunicare con il server di comando e controllo;
  • get_time – caricare sul server allestito dai malfattori l’intervallo di tempo previsto per comunicare con il server di comando e controllo;
  • mute_vol – disattivare il suono del telefono;
  • start_alarm – attivare sul telefono la modalità in base alla quale il processore del dispositivo non interrompe il proprio funzionamento una volta spento lo schermo;
  • stop_alarm – disattivare sul telefono la modalità in base alla quale il processore del dispositivo non interrompe il proprio funzionamento una volta spento lo schermo;
  • block_phone – spegnere lo schermo del telefono;
  • rev_shell – riga di comando remota, la quale consente all’attacker di poter eseguire i comandi direttamente attraverso la riga di comando del dispositivo;
  • intercept_start – abilitare l’intercettazione degli SMS in entrata;
  • intercept_stop – disabilitare l’intercettazione degli SMS in entrata.

Tra tutti i comandi qui sopra elencati, quello più inusuale, per tale genere di malware, si rivelava indubbiamente essere rev_shell – Reverse shell, ovvero la riga di comando remota. Una volta ricevuto tale comando, il Trojan provvede a collegare il server remoto con la console del dispositivo infetto: questo consente ai malintenzionati di poter eseguire facilmente ed agevolmente i comandi direttamente sul dispositivo, e di ricevere poi l’output (risultato) ad essi relativo. Una simile funzionalità è tipica dei programmi backdoor, mentre si incontra molto più raramente tra i banker, visto che questi ultimi si prefiggono di realizzare il furto del denaro custodito sul conto bancario della vittima, e non di acquisire il controllo del dispositivo preso di mira.

La specifica funzionalità di cui sono provviste le versioni più recenti di Asacub, individuate nel mese di settembre e successivamente, risulta maggiormente orientata, rispetto a quanto avveniva con le varianti precedenti del Trojan, al furto dei dati bancari. Mentre nelle precedenti versioni il logo relativo all’istituto finanziario sottoposto ad attacco veniva utilizzato solo a livello di icona, nelle nuove varianti del programma Trojan abbiamo individuato alcune esplicite schermate di phishing contenenti i loghi delle banche.

blog_corebot_1nn

Una delle schermate da noi identificate era in lingua russa; all’interno del codice del Trojan essa era stata denominata ActivityVTB24, richiamando palesemente, in tal modo, il nome di uno dei principali istituti bancari russi. Il testo presente sullo schermo del dispositivo si riferiva, tuttavia, alla banca ukraina Приват24.

Il Trojan Asacub, da spyware a banker

Le schermate di phishing erano presenti su tutte le varianti di Asacub da noi conosciute, create in settembre o nei mesi successivi; nella fattispecie, tuttavia, veniva utilizzata soltanto la finestra con gli appositi campi per l’inserimento dei dati relativi alla carta di credito. Questo può significare sia che i cybercriminali si stanno preparando ad attaccare i clienti delle banche di cui vengono utilizzati loghi e denominazioni, sia che, da qualche parte, esiste una variante di Asacub la quale lo sta già facendo.

Una volta lanciata, la “variante autunnale” del Trojan inizia a carpire tutti gli SMS in entrata. Inoltre, essa è in grado di eseguire i seguenti comandi:

  • get_history – caricare sul server predisposto dai malfattori la cronologia del browser web;
  • get_contacts – caricare sul server dei malintenzionati l’elenco dei contatti;
  • get_cc – mostrare alla vittima la finestra di phishing adibita al furto dei dati sensibili relativi alla carta di credito;
  • get_listapp – caricare sul server malevolo l’elenco delle applicazioni installate;
  • change_redir – attivare il reindirizzamento delle chiamate verso un determinato numero telefonico;
  • block_phone – spegnere lo schermo del telefono;
  • send_ussd – eseguire la richiesta USSD specificata;
  • update – effettuare il download del file dal link indicato, ed installare tale file;
  • send_sms – inviare un SMS con un determinato testo ad uno specifico numero telefonico.

Anche se, per il momento, non siamo stati in grado di rilevare attacchi del Trojan Asacub condotti nei confronti di utenti ubicati sul territorio degli USA, costituisce indubbiamente motivo di seria preoccupazione l’utilizzo, da parte dei malfattori, dei simboli relativi ad una delle più importanti banche statunitensi. È ben evidente che il Trojan qui analizzato si sta sviluppando in maniera particolarmente attiva; ad esso vengono continuamente aggiunte nuove pericolose funzionalità, le quali, peraltro, possono essere abilitate in qualsiasi momento.

Per quel che riguarda l’eventuale correlazione esistente tra Asacub e il Trojan CoreBot, sottolineiamo il fatto che non sono stati da noi rilevati specifici collegamenti tra i due software nocivi, ad eccezione dell’utilizzo congiunto di un centro di comando C&C. È possibile che Asacub costituisca la versione mobile di CoreBot; è tuttavia ancor più probabile che lo stesso identico malintenzionato abbia acquisito entrambi i programmi Trojan, per poi utilizzare gli stessi in maniera parallela.

Il Trojan Asacub oggi

Proprio alla fine del 2015 è stata da noi individuata una nuova, ulteriore variante di Asacub, in grado di eseguire nuovi comandi:

  • GPS_track_current – ottenere le coordinate del dispositivo ed inviare le stesse all’attacker;
  • camera_shot – scattare una fotografia con la fotocamera del dispositivo;
  • network_protocol – nelle versioni a noi note, la ricezione di tale comando non produce alcun effetto; è tuttavia possibile che, in futuro, i malfattori intendano modificare o sostituire, attraverso tale comando, il protocollo utilizzato per le comunicazioni intercorrenti tra malware e server di comando.

In questa variante del Trojan non risultano presenti schermate di phishing; nel codice vengono tuttavia menzionati i nomi degli istituti bancari presi di mira. In particolare, Asacub cerca costantemente di chiudere la finestra relativa all’applicazione ufficiale di una nota banca ukraina.

blog_corebot_3

Esempio del codice malevolo utilizzato per chiudere l’applicazione di mobile banking

Inoltre, analizzando le comunicazioni in atto tra il programma Trojan ed il relativo server di comando e controllo, abbiamo appurato che il malware in questione riceve, molto spesso, appositi comandi per “operare” con il servizio di mobile banking allestito da uno dei principali istituti bancari russi.

Durante il periodo delle vacanze di fine/inizio anno, appena trascorso, la nuova variante si è attivamente diffusa sul territorio russo, attraverso messaggi SMS di spam. In una sola settimana, dal 28 dicembre 2015 al 4 gennaio 2016, sono stati da noi registrati oltre 6.500 tentativi di infezione di utenti unici. Di conseguenza, nel corso di tale settimana, il Trojan mobile qui analizzato è entrato a far parte della TOP-5 relativa ai malware in assoluto più attivi. In seguito, il livello di attività manifestato dalla nuova versione di Asacub è lievemente diminuito; da parte nostra, continuiamo a monitorare attentamente gli sviluppi della situazione.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *