Asacub進化史：如何從間諜軟件到銀行惡意軟件

近日，安全人員對移動端銀行木馬Trojan-Banker.AndroidOS.Asacub進行了深入分析，發現其惡意功能隨著版本的改變不斷增加。

早期版本

該木馬首次發現于2015年6月上旬，功能類似于間諜軟件。早期的Asacub木馬會竊取所有的短信并上傳到惡意服務器，接收并執行C&C服務器端的以下命令：

1、get_history：向服務器上傳瀏覽器歷史記錄
2、get_contacts：向服務器上傳手機通訊錄
3、get_listapp：向服務器上傳已安裝應用列表
4、block_phone：關閉手機屏幕
5、send_sms：向指定號碼發送特定文本

進化版本

Asacub新版本在2015年7月中旬被發現，該版本在界面中使用歐洲銀行的logo，而早期版本則主要使用美國銀行的logo。

C&C服務器的命令也有所增加：

1、get_sms：向服務器上傳所有短信
2、del_sms：刪除指定的短信
3、set_time：為C&C鏈接設置新的時間間隔
4、get_time：為C&C鏈接上傳時間間隔
5、mute_vol：將手機設置成靜音
6、start_alarm：開啟手機模式，當手機處于白屏狀態時處理器仍能繼續工作
7、stop_alarm：禁用手機模式
8、block_phone：關閉手機屏幕
9、rev_shell：允許攻擊者在設備上遠程執行命令
10、intercept_start：開啟短信攔截模式
11、intercept_stop：禁用短信攔截模式

其中有一個比較特殊的命令：rev_shell。當接收到該命令時，Asacub會將遠程服務器連接到受感染的設備控制臺，以方便攻擊者在設備上執行命令，并查看這些命令的輸出。該功能為后門的典型功能，在銀行惡意軟件中很少見，因為后者的主要目的是獲利，而不是控制設備。

2015年9月發現的Asacub的最新版本的功能則更側重于竊取銀行信息。之前的版本只是使用銀行的logo，但是最近的版本中發現了許多使用銀行logo的釣魚界面。

圖一 釣魚界面截圖

圖一界面所對應的代碼名為“ActivityVTB24”，與俄羅斯一家大型銀行名稱相似，而該界面所對應的文本則指的是烏克蘭銀行Privat24。

眾所周知，9月以后的版本開始出現釣魚界面，但是也只在銀行卡輸入界面使用，這意味著，攻擊者只是攻擊他們所模仿銀行的用戶。軟件啟動后，開始竊取所有往來短信，同時也可以執行以下命令：

1、get_history：向服務器上傳瀏覽器歷史記錄
2、get_contacts：向服務器上傳手機通訊錄
3、get_cc：顯示釣魚界面，用于獲取銀行卡信息
4、get_listapp：向服務器上傳已安裝應用列表
5、change_redir：啟用呼叫轉移到指定號碼
6、block_phone：關閉手機屏幕
7、send_ussd：運行指定的USSD請求
8、update：下載指定鏈接的文件并安裝
9、send_sms：向指定號碼發送特定文本

最新版本

在2015年末，研究人員發現了Asacub的新版本，它可以執行如下新命令：

1、GPS_track_current：獲取設備的坐標并發送給攻擊者
2、camera_shot：使用相機進行截圖
3、network_protocol：目前沒有發現該與該命令對應的操作，但是將來可能會更改惡意軟件與C&C服務器交互的協議

該版本沒有釣魚界面的相關更新，但是代碼中仍然涉及到了銀行。其中，它會嘗試關閉一家烏克蘭銀行的官方軟件。

圖二 關閉官方軟件的代碼

總結

盡管我們還沒有受到Asacub攻擊的波及，但是該木馬對美國銀行logo的盜用就是警告信號：Asacub木馬在迅速發展，新的惡意功能隨時可能被激活。這就意味著所有手機用戶都可能成為下一個受害者。建議安全廠商能夠針對此惡意軟件給用戶提供一個安全的解決方案。

*原文地址： securelist ，vul_wish編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）