Der Trojaner Asacub – vom Spion zum Banker

Vor kurzem entdeckten wir bei der Analyse der Familie mobiler Bank-Trojaner Trojan-Banker.AndroidOS.Asacub, dass einer der verwendeten C&C-Server (er wurde sowohl bei den allerfrühsten uns bekannten Modifikationen eingesetzt, als auch in neueren Varianten) unter der Adresse chugumshimusona[.]com, auch in CoreBot verwendet wird – ein Spionage-Trojaner für Windows. In diesem Zusammenhang beschlossen wir, den mobilen Schädling einmal genauer unter die Lupe zu nehmen.

Die frühsten uns bekannten Asacub-Modifikationen erschienen in der ersten Junihälfte 2015 und ihren Möglichkeiten nach ähnelten sie eher einem Spionage-Trojaner als einem Banken-Schädling. Der frühe Asacub stahl alle eingehenden SMS, ganz unabhängig vom Absender, und lud sie auf den Server der Cyberkriminellen. Insgesamt konnte der Trojaner die folgenden Befehle vom C&C empfangen und ausführen:

  • get_history – den Browserverlauf auf den Server der Cyberkriminellen laden;
  • get_contacts – Kontaktliste auf den Server der Cyberkriminellen laden;
  • get_listapp – Liste der installierten Anwendungen auf den Server der Cyberkriminellen laden;
  • block_phone – Bildschirm des Smartphones deaktivieren;
  • send_sms – SMS mit vorgegebenem Text an vorgegebene Nummer senden.

In der zweiten Julihälfte 2015 erschienen neue Asacub-Modifikationen. Die uns bekannten Dateien benutzten in der Aufmachung des Interfaces die Logos europäischer Finanzorganisationen, anders als die ersten Versionen des Trojaners, die das Logo einer der größten amerikanischen Banken ausnutzte.

Außerdem war die Zahl der Befehle, die Asacub ausführen kann, deutlich höher geworden:

  • get_sms – alle SMS auf den Server der Cyberkriminellen laden;
  • del_sms – eine vorgegebene SMS löschen;
  • set_time – Verbindungsintervall mit dem Steuerungsserver ändern;
  • get_time – Verbindungsintervall mit dem Steuerungsserver auf den Server der Cyberkriminellen laden;
  • mute_vol – Telefon stumm schalten;
  • start_alarm – Telefonmodus aktivieren, in dem der Prozessor des Gerätes nicht aufhört zu arbeiten, nachdem der Bildschirm deaktiviert wurde;
  • stop_alarm – Telefonmodus deaktivieren, in dem der Prozessor des Gerätes nicht aufhört zu arbeiten, nachdem der Bildschirm deaktiviert wurde;
  • block_phone – Bildschirm des Smartphones deaktivieren;
  • rev_shell – entfernte Programmzeile, die es einem Cyberkriminellen ermöglicht, Befehle in der Befehlszeile des Geräts auszuführen;
  • intercept_start – Abfangen eingehender SMS aktivieren;
  • intercept_stop – Abfangen eingehender SMS deaktivieren.

Unter all diesen Befehlen ist für diese Art von Schädlingen der Befehl rev_shell – Reverse shell – am ungewöhnlichsten: die entfernte Befehlszeile. Nach Erhalt dieses Befehls verbindet der Trojaner den entfernten Server mit der Konsole des infizierten Geräts, wodurch es den Cyberkriminellen möglich wird, problemlos und bequem Befehle auf dem Gerät auszuführen und den Output, das Ergebnis also, zu erhalten. Eine derartige Funktionalität ist charakteristisch für Backdoors und nur äußerst selten bei Banken-Schädlingen anzutreffen, da diese auf den Diebstahl von Finanzmitteln von den Konten der Opfer spezialisiert sind und nicht auf die entfernte Steuerung des Gerätes.

Die Funktionalität der neusten Modifikationen von Asacub, die September 2015 und später entdeckt wurden, ist mehr am Diebstahl von Bankdaten orientiert als die ihrer Vorgänger. Während in früheren Versionen das Logo irgendeines Finanzinstituts nur im Icon verwendet wurde, so fanden wir in den neuen Modifikationen des Trojaners mehrere Phishing-Bildschirme mit den Logos von Banken.

blog_corebot_1nn

Eine der entdeckten Phishing-Seiten war in russischer Sprache verfasst und im Code des Trojaners wurde sie ActivityVTB24 genannt, was genauso klingt wie eine der größten russischen Banken, doch der Text auf dem Bildschirm verwies auf die ukrainische Bank Privat24.

Der Trojaner Asacub – vom Spion zum Banker

Der Phishing-Bildschirm kam in allen uns bekannten Asacub-Modifikationen vor, die im September oder später erstellt worden waren, doch es wurde nur das Feld zur Eingabe der Kreditkartendaten verwendet. Das kann sowohl bedeuten, dass die Cyberkriminellen sich erst darauf vorbereiten, die Kunden der Banken anzugreifen, deren Logos und Namen sie benutzen, doch das kann auch bedeuten, dass es irgendwo noch eine andere Asacub-Modifikation gibt, die das bereits tut.

Nach dem Start beginnt der Trojaner der „herbstlichen Modifikation“, alle eingehenden SMS abzufangen. Überdies ist er in der Lage, die folgenden Befehle auszuführen:

  • get_history – den Browserverlauf auf den Server der Cyberkriminellen laden;
  • get_contacts – Kontaktliste auf den Server der Cyberkriminellen laden;
  • get_cc – dem Opfer das Phishing-Fenster zum Diebstahl der Kreditkartendaten anzeigen;
  • get_listapp – Liste der installierten Anwendungen auf den Server der Cyberkriminellen laden;
  • change_redir – Umleitung der Anrufe auf die angegebene Nummer aktivieren;
  • block_phone – Bildschirm des Telefons deaktivieren;
  • send_ussd – angegebene USSD-Anfrage ausführen;
  • update – von dem angegebenen Link eine Datei herunterladen und sie installieren;
  • send_sms – SMS mit vorgegebenem Text an vorgegebene Nummer senden.

Obgleich es uns nicht gelungen ist, eine Asacub-Attacke auf Nutzer in den USA nachzuweisen, macht die Verwendung der Symbole einer der größten amerikanischen Banken stutzig. Der Trojaner entwickelt sich offensichtlich rasant weiter, ihm werden neue gefährliche Möglichkeiten hinzugefügt, die zu jedem beliebigen Zeitpunkt aktiviert werden können.

Was die Beziehung von Asacub zum Trojaner Corebot betrifft, so konnten wir keine Verbindung zwischen ihnen feststellen, außer, dass sie denselben C&C-Server verwenden. Möglicherweise ist Asacub die mobile Version von Corebot, doch wahrscheinlicher ist, dass ein und derselbe Verbrecher beide Trojaner gekauft und sie parallel benutzt hat.

Ergänzung: Asacub heute

In den letzten Tagen des Jahres 2015 entdeckten wir eine neue Asacub-Modifikation, die neue Befehle ausführen kann:

  • GPS_track_current – Koordinaten des Gerätes empfangen und sie an den Cyberkriminellen senden;
  • camera_shot – Aufnahme mit der Kamera des Geräts erstellen;
  • network_protocol – in den uns bekannten Modifikationen führt die Ausführung dieses Befehls zu rein gar nicht, doch möglicherweise ist vorgesehen, dass mit Hilfe dieses Befehls künftig das Kommunikationsprotokoll zwischen dem Schädling und dem Befehlsserver geändert wird.

In dieser Version gibt es keine Phishing-Bildschirme, doch nichts desto weniger gibt es im Code des Schädlings Versweise auf Banken. Insbesondere versucht der Trojaner ständig, das Fenster der offiziellen App einer ukrainischen Bank zu schließen.

blog_corebot_3

Beispiel für Code, der zum Schließen einer Banken-App verwendet wird

Wir haben mit Hilfe einer Analyse der Kommunikation des Trojaners mit dem Steuerungsserver außerdem feststellen können, dass er sehr häufig Befehle für die Arbeit mit dem Server für das mobile Banking einer der größten russischen Banken erhält.

Während der vergangenen Neujahrsfeierlichkeiten wurde die neue Modifikation in Russland aktiv via Spam verbreitet. Innerhalb nur einer Woche, vom 28. Dezember 2015 bis zum 4. Januar 2016, registrierten wir mehr als 6.500 Versuche, individuelle Anwender zu infizieren. Das hatte zur Folge, dass dieser Trojaner in der entsprechenden Woche in den ТOP 5 der aktivsten Schädlinge landete. Daraufhin ging die Aktivität der neuen Asacub-Modifikation wieder etwas zurück. Wir werden die Entwicklung der Ereignisse weiterhin im Auge behalten.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Reinhard Drescher

    Ich kenne mich nicht gut mit dem Computer aus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.