Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Asacub: nuovo trojan bancario per Android

Asacub  dispositivi mobili  trojan   lunedì, 25 gennaio 2016

Il team di ricercatori anti-malware di Kaspersky Lab ha scoperto una nuova variante del trojan Asacub che prende di mira gli utenti Android a scopo di lucro.

Questo trojan era stato scoperto e analizzato la prima volta all’inizio di giugno 2015 e mostrava le caratteristiche di un malware progettato per il furto di informazioni, più simile ad uno spyware che ad un trojan bancario. Le prime versioni di Asacub catturavano tutti i messaggi SMS in arrivo e li inviavano ad un server C&C (Command and Control). Inoltre, erano in grado di ricevere ed eseguire una serie di comandi dal server C&C. Al loro interno, i file malevoli contenevano il logo di un’importante banca statunitense.

La seconda generazione di Asacub, rilevata nella seconda metà di luglio 2015, ampliava notevolmente la lista di comandi eseguibili e utilizzava loghi di alcune banche europee.

Le versioni più recenti di Asacub, rilevate nel mese di settembre 2015, mostravano funzionalità più orientate al furto di informazioni bancarie rispetto alle versioni precedenti, contenendo altresì intere schermate di phishing con i loghi di banche russe e ucraine (vedi immagine).

Schermate di phisching di Asacub

Immagine © 2016 Kaspersky Lab.

Verso la fine del 2015 è stata identificata una nuova variante di Asacub che non contiene schermate di phishing, ma fa sempre riferimento nel codice a diversi istituti bancari. In particolare, il trojan tenta di chiudere la finestra di un’app ufficiale di una specifica banca ucraina.

Stando a quanto riportato da Kaspersky Lab, Asacub è in grado di svolgere le seguenti attività malevole:

  • caricare la cronologia di navigazione dei browser su un server malevolo;
  • caricare la lista dei contatti su un server malevolo;
  • caricare un elenco delle app installate su un server malevolo;
  • bloccare lo schermo del telefono;
  • disabilitare l’audio del telefono;
  • inviare SMS con un testo specifico ad un numero specifico;
  • caricare tutti gli SMS su un server malevolo;
  • cancellare uno specifico SMS;
  • intercettare tutti gli SMS in arrivo;
  • abilitare l’inoltro delle chiamate ad un numero specifico;
  • mostrare una finestra di phishing allo scopo di rubare credenziali bancarie;
  • eseguire una richiesta USSD specifica;
  • scaricare ed installare un file da un indirizzo specifico;
  • eseguire comandi da remoto inviati dai cybercriminali;
  • ottenere le coordinate GPS del dispositivo e inviarle all’attaccante;
  • catturare una schermata con la fotocamera del dispositivo.

Una delle caratteristiche peculiari di Asacub è quella di condividere uno dei server C&C con un altro trojan bancario per Windows, CoreBot, il che farebbe ipotizzare un legame tra i due malware.

Allo stato attuale, sembra che Asacub si stia sviluppando molto rapidamente, con l’aggiunta di nuove pericolose funzionalità, che potrebbero essere attivate dai suoi creatori in qualsiasi momento.

Sulla base delle tendenze attuali, gli analisti di Kaspersky prevedono che nel 2016 lo sviluppo e la prevalenza di malware bancario per dispositivi mobili continuerà a crescere.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto