Trojan Asacub: de peixe pequeno para arma perfeita

20 abr 2016

A Kaspersky Lab conseguiu rastrear como o banking Trojan Asacub está evoluindo.

Um Trojan bancário é um tipo de malware instalado em celulares que emprega técnicas para roubar dinheiro das contas dos usuários. As versões mais recentes do Asacub enganam o usuário ao enviar credenciais de cartão de crédito por meio de páginas de phishing.

Primeiramente, os pesquisadores sugeriram que os banking Trojans estivessem tendo como alvo, exclusivamente, a Rússia e Ucrânia, pois as páginas de phishing lembrava os sites de bancos ucranianos e russos. No entanto, investigações mais profundas permitiram que os pesquisadores da Kaspersky Lab identificassem uma versão adicional com objetivo de atacar usuários dos Estados Unidos.

asacub-trojan-FB

Não obstante, Asacub é bem mais que um simples esquema de phishing. Apesar do fato de que nos seus primeiros momentos ele era um malware mais simples ainda – sua evolução começou bem de baixo, se pensarmos na hierarquia dos vírus.

A primeira interação do vírus, cuja família é detectada pelos produtos da Kaspersky Lab como “Trojan-Banker.AndroidOS.Asacub”, foi descoberto pelo nosso time de pesquisa em junho de 2015. Nesse momento, ele era uma amostra típica de um programa de phishing, administrado remotamente de um servidor de comando e controle.

 

Instalada em dispositivos afetados, a primeira versão do Asacub era capaz de enviar certas informações, incluindo lista de aplicativos, histórico de navegação e lista de contatos para o servidor de C&C. O Asacub inicial também podia enviar SMS para um número em particular e desligar a tela dado o comando – e era isso.

Uma nova versão foi encontrada em julho e possuía ferramentas mais avançadas. Além dos recursos já existentes, era capaz de administrar os ciclos de comunicação C&C, interceptar e deletar mensagens de texto e enviar histórico de SMS para um servidor remoto.

A versão mais recente possui vários outros recursos: deixar o telefone mudo, manter a CPU em estado de atividade mesmo com a tela desligada, e mais importante ainda, fornecer acesso ao console para os bandidos. Essa porta dos fundos clássica raramente é usada por banking trojans. Dessa versão para frente, Asacub se tornou algo mais significante que um mero programa de phishing.

O Asacub se tornou o que é hoje em setembro. Além dos recursos já mencionados, ele começou a empregar telas de phishing para roubar dados de cartão de crédito em aplicativos de bancos selecionados. Além disso, aprendeu a encaminhar as ligações das vítimas para um número em particular, enviar requerimentos USSD, baixar e executar arquivos de URLs clandestinos.

Até recentemente, Asacub preferiu se manter “escondido”: os pesquisadores da Kaspersky Lab estavam cientes de diversas interações do malware, mas não detectaram ataques de grande escala, até que conseguiram impedir diversas campanhas ao longo do Natal. Roman Unucek, um dos especialistas que descobriram o vírus, comentou: “O malware se manteve fora do radar, até recentemente, quando hackers começaram a distribui-lo ativamente, o que fez dele uma das ameaças para celulares mais notáveis de 2016.”

Na verdade, os pesquisadores registraram 6.500 detecções na primeira semana. Até agora mais de 37.000 tentativas de infecção foram registradas.

A partir do momento que o Asacub infecta um dispositivo Android, ganha completo controle sobre o sistema. É capaz de roubar dados (de SMS a credenciais de banco), encaminhar chamada, tirar fotos ou até instalar outros malwares, incluindo muito provavelmente um ransomware.

Asacub é uma ferramenta completa para hackers. Pode ser usado para phishing, distribuição de malware ou até chantagem. Da forma que é agora, os criminosos estão apenas testando a coleção de ferramentas disponíveis, e existe motivo para anteciparmos grandes campanhas.

Há apenas um jeito funcional para proteger alguém dessa ameaça: um antivírus robusto. O Kaspersky Internet Security para Android é capaz de detectar e bloquear todas as versões existentes do Asacub. A versão premium pode fazê-lo em tempo real. Se você usa a versão gratuita, não se esqueça de executar verificações manuais regularmente para prevenir infecções.