Niedawno, analizując rodzinę trojanów bankowości mobilnej o nazwie Trojan-Banker.AndroidOS.Asacub, odkryliśmy, że jeden z wykorzystywanych przez te szkodniki serwerów kontroli (wykorzystywanych w szczególności przez najwcześniejsze znane nam modyfikacje jak również te najnowsze), znajdujący się pod adresem chugumshimusona[.]com, jest również wykorzystywany przez CoreBota - trojana szpiegującego stworzonego dla systemu Windows. To skłoniło nas do przeprowadzenia bardziej szczegółowej analizy tego szkodnika.

Najwcześniejsze ze znanych nam wersji Asacuba pojawiły się w pierwszej połowie czerwca 2015 r. i posiadały funkcjonalność, która bardziej przypominała funkcjonalność trojanów szpiegujących niż szkodliwego oprogramowania bankowego. Wczesny Asacub kradł wszystkie przychodzące wiadomości SMS niezależnie od tego, kto je wysłał, i wrzucał je na szkodliwy serwer. Trojan ten potrafił otrzymywać i przetwarzać następujące polecenia z serwera kontroli (C&C):  

• get_history: wrzuć historię przeglądarki na szkodliwy serwer;
• get_contacts: wrzuć listę kontaktów na szkodliwy serwer;
• get_listapp: wrzuć listę zainstalowanych aplikacji na szkodliwy serwer;
• block_phone: wyłącz ekran telefonu;
• send_sms: wyślij SMS zawierający określony tekst na określony numer.

Nowe wersje Asacuba pojawiły się w drugiej połowie lipca 2015 r. Szkodliwe pliki, o których wiemy, wykorzystywały w swoim interfejsie logo banków europejskich, w przeciwieństwie do wcześniejszych wersji trojana, które wykorzystywały logo dużego banku amerykańskiego.

Znacznie wzrosła również liczba poleceń, które mógł wykonać trojan Asacub:

• get_sms: wrzuć wszystkie SMS-y na szkodliwy serwer;
• del_sms: usuń określony SMS;
• set_time: ustaw nowy odstęp czasowy dla kontaktowania się z serwerem kontroli (C&C);
• get_time: wrzuć na serwer kontroli odstęp czasowy dla kontaktowania się z infrastrukturą kontroli;
• mute_vol: wycisz telefon;
• start_alarm: włącz tryb telefonu, w którym procesor urządzenia nadal działa, po tym jak ekran zgaśnie;
• stop_alarm: wyłącz tryb telefonu, w którym procesor urządzenia nadal działa, po tym jak ekran zgaśnie; 
• block_phone: wyłącz wyświetlacz telefonu; 
• rev_shell: wiersz poleceń zdalnych, który umożliwia cyberprzestępcy wykonywanie poleceń z poziomu wiersza poleceń urządzenia;
• intercept_start: włącz przechwytywanie wszystkich SMS-ów przychodzących;
• intercept_stop: wyłącz przechwytywanie wszystkich SMS-ów przychodzących.

Jednym ze szczególnie nietypowych poleceń dla tego rodzaju szkodliwego oprogramowania było rev_shell, czyli zdalny wiersz poleceń odwrotnej powłoki (reverse shell). Po otrzymaniu tego polecenia trojan łączy zdalny serwer z konsolą zainfekowanego urządzenia, ułatwiając cyberprzestępcom wykonanie poleceń na urządzeniu oraz zobaczenie ich wyników. Funkcjonalność ta jest typowa dla backdoorów i bardzo rzadko występuje w szkodliwym oprogramowaniu bankowym – celem tego ostatniego jest kradzież pieniędzy z konta bankowego ofiary, nie kontrolowanie urządzenia.        

Najnowsze wersje trojana Asacub – wykryte we wrześniu 2015 r. lub później – posiadają funkcjonalność, która w stosunku do wcześniejszych wersji jest bardziej ukierunkowana na kradzież informacji bankowych. Podczas gdy wcześniejsze wersje wykorzystywały jedynie logo banku w ikonie, w nowszych wersjach znaleźliśmy kilka komunikatów phishingowych z logo banku.   

Jeden ze zrzutów ekranu był w języku rosyjskim i w kodzie trojana nosił nazwę ‘ActivityVTB24’. Nazwa ta przypomina nazwę dużego banku rosyjskiego, ale tekst na ekranie dotyczył ukraińskiego banku Privat24. 

Ekrany phishingowe były obecne we wszystkich znanych nam modyfikacjach trojana Asacub stworzonych od września, ale wykorzystywane było tylko okno zawierające pola służące do wprowadzenia numeru karty kredytowej. To mogłoby oznaczać, że cyberprzestępcy jedynie planują zaatakować użytkowników banków, których logo oraz/lub nazwy wykorzystują, lub że istnieje już wersja Asacuba, która to robi.

Po uruchomieniu „jesienna wersja” trojana zaczyna kraść wszystkie przychodzące wiadomości SMS. Może również wykonywać następujące polecenia:

• get_history: wrzuć historię przeglądarki na szkodliwy serwer;
• get_contacts: wrzuć listę kontaktów na szkodliwy serwer;
• get_cc: wyświetl okno phishingowe wykorzystywane do kradzieży danych dotyczących karty bankowej;
• get_listapp: wrzuć listę zainstalowanych aplikacji na szkodliwy serwer;
• change_redir: włącz przekierowywanie połączeń na określony numer;
• block_phone: wyłącz ekran telefonu;
• send_ussd: uruchom określone żądanie USSD;
• update: pobierz plik z określonego odsyłacza i zainstaluj go;
• send_sms: wyślij SMS z określonym tekstem na określony numer.

Chociaż nie odnotowaliśmy żadnych ataków przy użyciu trojana Asacub na użytkowników w Stanach Zjednoczonych, sam fakt, że wykorzystywane jest logo dużego banku amerykańskiego powinien stanowić sygnał ostrzegawczy. Wygląda na to, że trojan ten szybko się rozwija i jest wzbogacany o nowe niebezpieczne funkcje, które mogą zostać aktywowane w dowolnym czasie.

Jeśli chodzi o związek pomiędzy trojanem Asacub a trojanem Corebotem, nie zdołaliśmy wytropić żadnego powiązania między nimi z wyjątkiem tego, że mają ten sam serwer kontroli (C&C). Asacub może być wersją mobilną Corebota; bardziej prawdopodobne jest jednak to, że ten sam cyberprzestępca zakupił oba trojany i wykorzystuje je jednocześnie.