设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Asacub进化史:如何从间谍软件到银行恶意软件

2016-1-22 08:12| 发布者: 随便、先森。| 查看: 1042| 评论: 0|来自: FreeBuf

摘要: 近日,安全人员对移动端银行木马Trojan-Banker.AndroidOS.Asacub进行了深入分析,发现其恶意功能随着版本的改变不断增加。早期版本该木马首次发现于2015年6月上旬,功能类似于间谍软件。早期的Asacub木马会窃取所有 ...

近日,安全人员对移动端银行木马Trojan-Banker.AndroidOS.Asacub进行了深入分析,发现其恶意功能随着版本的改变不断增加。

早期版本

该木马首次发现于2015年6月上旬,功能类似于间谍软件。早期的Asacub木马会窃取所有的短信并上传到恶意服务器,接收并执行C&C服务器端的以下命令:

1、get_history:向服务器上传浏览器历史记录
2、get_contacts:向服务器上传手机通讯录
3、get_listapp:向服务器上传已安装应用列表
4、block_phone:关闭手机屏幕
5、send_sms:向指定号码发送特定文本

进化版本

Asacub新版本在2015年7月中旬被发现,该版本在界面中使用欧洲银行的logo,而早期版本则主要使用美国银行的logo。

C&C服务器的命令也有所增加:

1、get_sms:向服务器上传所有短信
2、del_sms:删除指定的短信
3、set_time:为C&C链接设置新的时间间隔
4、get_time:为C&C链接上传时间间隔
5、mute_vol:将手机设置成静音
6、start_alarm:开启手机模式,当手机处于白屏状态时处理器仍能继续工作
7、stop_alarm:禁用手机模式
8、block_phone:关闭手机屏幕
9、rev_shell:允许攻击者在设备上远程执行命令
10、intercept_start:开启短信拦截模式
11、intercept_stop:禁用短信拦截模式

其中有一个比较特殊的命令:rev_shell。当接收到该命令时,Asacub会将远程服务器连接到受感染的设备控制台,以方便攻击者在设备上执行命令,并查看这些命令的输出。该功能为后门的典型功能,在银行恶意软件中很少见,因为后者的主要目的是获利,而不是控制设备。

2015年9月发现的Asacub的最新版本的功能则更侧重于窃取银行信息。之前的版本只是使用银行的logo,但是最近的版本中发现了许多使用银行logo的钓鱼界面。

图一 钓鱼界面截图

图一界面所对应的代码名为“ActivityVTB24”,与俄罗斯一家大型银行名称相似,而该界面所对应的文本则指的是乌克兰银行Privat24。

众所周知,9月以后的版本开始出现钓鱼界面,但是也只在银行卡输入界面使用,这意味着,攻击者只是攻击他们所模仿银行的用户。软件启动后,开始窃取所有往来短信,同时也可以执行以下命令:

1、get_history:向服务器上传浏览器历史记录
2、get_contacts:向服务器上传手机通讯录
3、get_cc:显示钓鱼界面,用于获取银行卡信息
4、get_listapp:向服务器上传已安装应用列表
5、change_redir:启用呼叫转移到指定号码
6、block_phone:关闭手机屏幕
7、send_ussd:运行指定的USSD请求
8、update:下载指定链接的文件并安装
9、send_sms:向指定号码发送特定文本

最新版本

在2015年末,研究人员发现了Asacub的新版本,它可以执行如下新命令:

1、GPS_track_current:获取设备的坐标并发送给攻击者
2、camera_shot:使用相机进行截图
3、network_protocol:目前没有发现该与该命令对应的操作,但是将来可能会更改恶意软件与C&C服务器交互的协议

该版本没有钓鱼界面的相关更新,但是代码中仍然涉及到了银行。其中,它会尝试关闭一家乌克兰银行的官方软件。

图二 关闭官方软件的代码

总结

尽管我们还没有受到Asacub攻击的波及,但是该木马对美国银行logo的盗用就是警告信号:Asacub木马在迅速发展,新的恶意功能随时可能被激活。这就意味着所有手机用户都可能成为下一个受害者。建议安全厂商能够针对此恶意软件给用户提供一个安全的解决方案。

*原文地址:securelist,vul_wish编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部