Hace poco, al analizar la familia de troyanos bancarios móviles Trojan-Banker.AndroidOS.Asacub, descubrimos que uno de los servidores de administración usados (que se podía encontrar tanto en las modificaciones más tempranas, como en las más recientes), ubicado en la dirección chugumshimusona [.] com, era el mismo que se usaba en CoreBot, un troyano espía para Windows. Esto nos impulsó a hacer un análisis más detallado de este malware móvil.
Las modificaciones más tempranas de que tenemos noticias aparecieron en la primera quincena de junio de 2015, y por sus características, estaban más cerca de los espías troyanos que del malware bancario. Al principio Asacub robaba todos los SMS entrantes, sin importar quién fuese el remitente, y los enviaba al servidor de los maleantes. En general, el troyano podría recibir del servidor de administración y procesar los siguientes comandos:
- get_history – enviar al servidor de los delincuentes el historial del navegador;
- get_contacts – enviar la lista de contactos al servidor de los delincuentes;
- get_listapp – enviar al servidor de los delincuentes la lista de aplicaciones instaladas;
- block_phone – apagar la pantalla del teléfono;
- send_SMS – enviar un SMS con el texto especificado a un número especificado.
En la segunda quincena de julio de 2015 aparecieron nuevas modificaciones de Asacub. Los ejemplares que conocemos usaban logotipos de instituciones financieras europeas en su interfaz, en contraste con las primeras versiones del troyano, que utilizan el logotipo de uno de los mayores bancos de Estados Unidos.
También aumentó significativamente el número de comandos que Asacub puede ejecutar:
- get_sms – enviar todos los SMS al servidor de los atacantes;
- del_sms – borrar los SMS especificados;
- set_time – modificar los intervalos de conexión al servidor de administración;
- get_time – enviar al servidor de los delincuentes el intervalo de conexión al servidor de administración;
- mute_vol – apagar el sonido del teléfono;
- start_alarm – activar en el teléfono el modo en el que el procesador sigue funcionando después de apagar la pantalla;
- stop_alarm – apagar en el teléfono el modo, en el que el dispositivo procesador sigue funcionando después de apagar la pantalla;
- block_phone – apagar la pantalla del teléfono;
- rev_shell – línea de comando remota que permite al atacante ejecutar comandos en la línea de comandos del dispositivo;
- intercept_start – habilitar la intercepción de SMS entrantes;
- intercept_stop – desactivar la intercepción de SMS entrantes.
Entre todos estos comandos, el más inusual para este tipo de malware era rev_shell – Reverse shell, una línea de comando remoto. Después de recibir este comando, el troyano conecta un servidor remoto a la consola del dispositivo infectado, lo que permite a los atacantes ejecutar comandos en el dispositivo y capturar su resultado de una forma fácil y cómoda. Esta funcionalidad es típica de las puertas traseras, y es extremadamente rara entre los troyanos bancarios, ya que estos están diseñados para robar dinero de la cuenta bancaria de la víctima, y no para tomar control del dispositivo.
La funcionalidad de las últimas versiones Asacub, descubiertas a partir de septiembre de 2015, se centra más en el robo de datos bancarios que sus predecesores. Si en las versiones anteriores el logo de una institución financiera sólo se encontraba en el icono, las nuevas versiones del troyano tenían varias pantallas de phishing con logotipos de bancos.
Una de las pantallas estaba en ruso y en el código del troyano se la denominaba ActivityVTB24, nombre similar al de uno de los mayores bancos de Rusia, pero el texto en la pantalla se refería al banco ucraniano Privat24.
Había pantallas de phishing presentes en todas las versiones de Abacus que conocemos creadas a partir de septiembre, pero en ellas sólo se utilizaba una ventana con los campos de entrada de datos de la tarjeta de crédito. Esto puede tener dos significados: uno, que los criminales se están preparando para atacar a los usuarios de los bancos con esos logotipos y nombres; o dos, que existe una modificación de Asacub que ya lo está haciendo.
Una vez que empieza a funcionar, esta modificación comienza a robar todos los SMS entrantes. Y además, puede ejecutar los siguientes comandos:
- get_history – enviar al servidor de los delincuentes el historial del navegador;
- get_contacts – enviar la lista de contactos al servidor de los delincuentes;
- get_cc – mostrar a la víctima la ventana phishing para robar datos de su tarjeta de crédito;
- get_listapp – enviar al servidor de los delincuentes la lista de aplicaciones instaladas;
- change_redir – activar el desvío de llamadas hacia un número específico;
- block_phone – apagar la pantalla del teléfono;
- send_ussd – ejecutar la solicitud USSD especificada;
- update – descargar un archivo desde el enlace especificado e instalarlo;
- send_SMS – enviar un SMS con el texto especificado a un número especificado.
A pesar de que no hemos registrado ataques Asacub lanzados contra los usuarios en los Estados Unidos, es alarmante que usen el logotipo de uno de los mayores bancos de Estados Unidos. Es evidente que el troyano se está desarrollando activamente y le están añadiendo nuevas características peligrosas que se pueden activar en cualquier momento.
Con respecto a la relación entre Asacub y el troyano Corebot, no hemos podido encontrar una conexión entre ellos, excepto en el uso del mismo servidor de administración. Es posible que Asacub sea la versión móvil de Corebot, pero es más probable que el mismo atacante haya comprado ambos troyanos y los esté utilizando en paralelo.
Asacub hoy
A finales de 2015, se encontró una nueva modificación de Asacub, capaz de ejecutar nuevos comandos:
- GPS_track_current – obtener las coordenadas del dispositivo y enviarlas al delincuente;
- camera_shot – tomar una foto con la cámara del dispositivo;
- network_protocol – en las versiones conocidas, este comando ya no tiene ningún efecto, pero tal vez en el futuro se lo modifique con la ayuda del protocolo de comunicación del malware con el servidor de administración.
En esta modificación no hay pantallas phishing , pero los nombres de los bancos en el código todavía siguen presentes. En particular, el troyano trata constantemente de cerrar la ventana de la aplicación oficial de uno de los bancos de Ucrania.
Ejemplo de código utilizado cerrar la aplicación bancaria
Además, después de haber analizado la comunicación del troyano con el servidor de administración, constatamos que muy a menudo recibe comandos que aplica a los servicios de banca móvil de uno de los mayores bancos de Rusia.
Durante el periodo de las últimas fiestas de fin de año, una nueva modificación se está propagando activamente en el territorio de Rusia a través del spam SMS. En sólo una semana, del 28 de diciembre de 2015 al 4 de enero de 2016, se registraron más de 6.500 intentos de infectar a usuarios individuales. Como resultado, esa semana el troyano entró al Top 5 del malware más activo. Más adelante, las actividades de la nueva modificación de Asacub se redujeron ligeramente. Nosotros seguiremos de cerca el desarrollo de los acontecimientos.
El troyano Asacub: de espía a ladrón de bancos