Trojan Asacub : le spyware devenu malware bancaire

Récemment, alors que nous analysions la famille de Trojans bancaires pour appareils nomades Trojan-Banker.AndroidOS.Asacub, nous avons remarqué qu’un des centres de commande utilisé (présent, notamment, dans la version la plus ancienne que nous connaissons ainsi que dans quelques versions plus récentes) hébergé sur l’adresse chugumshimusona[.]com, était également utilisé par CoreBot, un Trojan espion pour Windows. Cette observation nous a amené à examiner en détails le malware pour appareils nomades.

Les versions d’Asacub les plus anciennes que nous connaissons sont apparues au cours de la première quinzaine du mois de juillet 2015 et elles affichaient les caractéristiques d’un Trojan espion et non pas d’un malware bancaire. Cette version d’Asacub volait tous les SMS entrants, quel que soit l’expéditeur, et les envoyait au serveur des individus malintentionnés. Le Trojan était capable de recevoir et de traiter les instructions suivantes envoyées par le centre de commande :

  • get_history : téléchargement de l’historique du navigateur sur le serveur des individus malintentionnés ;
  • get_contacts : téléchargement de la liste des contacts sur le serveur des individus malintentionnés ;
  • get_listapp : téléchargement sur le serveur des individus malintentionnés de la liste des applications installée ;
  • block_phone : désactivation de l’écran du téléphone ;
  • send_sms : envoi de SMS contenant un texte défini à un numéro précis.

Les nouvelles versions d’Asacub sont apparues au cours de la deuxième quinzaine de juillet 2015. Les fichiers que nous connaissons ont utilisé dans la création des interfaces des logos d’organisations financières européennes tandis que les premières versions du Trojan utilisaient le logo d’une des plus grandes banques américaines.

De plus, le nombre d’instructions qu’Asacub peut exécuter a sensiblement augmenté :

  • get_sms : téléchargement de tous les SMS sur le serveur des individus malintentionnés ;
  • del_sms : suppression du SMS indiqué ;
  • set_time : modification de l’intervalle des communications avec le serveur de commande ;
  • get_time : téléchargement sur le serveur des individus malintentionnés de l’intervalle de communication avec le serveur de commande ;
  • mute_vol : désactivation du son du téléphone ;
  • start_alarm : activation d’un mode du téléphone dans le cadre duquel le processeur du périphérique n’arrête pas après que l’écran a été éteint ;
  • stop_alarm : désactivation d’un mode du téléphone dans le cadre duquel le processeur du périphérique n’arrête pas après que l’écran a été éteint ;
  • block_phone : désactivation de l’écran du téléphone ;
  • rev_shell : ligne de commande à distance qui permet aux individus malintentionnés d’exécuter des commandes via la ligne de commande de l’appareil ;
  • intercept_start : activation de l’interception des SMS entrants ;
  • intercept_stop : désactivation de l’interception des SMS entrants ;

Parmi toutes ces instructions, la plus inhabituelle pour ce type de malware était rev_shell, Reverse shell (ligne de commande à distance). Après avoir reçu cette instruction, le Trojan contacte le serveur distant à l’aide de la console du périphérique infecté, ce qui permet aux individus malintentionnés d’exécuter facilement les instructions sur le périphérique et de recevoir les réponses (résultats). Ce genre de fonction est caractéristique des backdoors et elle est beaucoup moins fréquente parmi les malwares bancaires car ceux-ci visent à voler l’argent depuis le compte bancaire de la victime, et non pas à administrer un périphérique.

La fonction des versions les plus récentes d’Asacub, découvertes en septembre 2015 et plus tard, est plus axée sur le vol de données bancaires. Alors que dans les version antérieures, nous avions remarqué l’utilisation du logo d’une institution financière quelconque uniquement dans l’icône, nous avons identifié dans les nouvelles versions plusieurs écrans de phishing avec des logos de banque.

blog_corebot_1nn

Un de ces écrans était en russe. Dans le code du Trojan, il portait le nom Activity VTB24, ce qui ressemble au nom d’une des plus grandes banques de Russie, mais le texte affiché renvoyait à la banque ukrainienne Privat24.

blog_corebot_fr_2

Toutes les versions d’Asacub créées à partir de septembre que nous connaissons contenaient des écrans de phishing, mais seule une fenêtre contenant des champs de saisies des données de la carte bancaire était utilisée. Cela pourrait signifier que les individus malintentionnés comptent uniquement attaquer les clients de banque dont le logo et le nom sont utilisés ou qu’il existe quelque part une modification d’Asacub qui agit déjà ainsi.

Une fois exécuté, le Trojan « d’automne » commence à voler tous les SMS entrants. De plus, il est capable d’exécuter les instructions suivantes :

  • get_history : téléchargement de l’historique du navigateur sur le serveur des individus malintentionnés ;
  • get_contacts : téléchargement de la liste des contacts sur le serveur des individus malintentionnés ;
  • get_cc : présentation à la victime d’une fenêtre de phishing pour voler les données de la carte bancaire ;
  • get_listapp : téléchargement sur le serveur des individus malintentionnés de la liste des applications installée ;
  • change_redir : activation du transfert des appels vers un numéro indiqué ;
  • block_phone : désactivation de l’écran du téléphone ;
  • send_ussd : exécution de la requête USSD indiquée ;
  • update : téléchargement d’un fichier via le lien indiqué et installation de celui-ci ;
  • send_sms : envoi de SMS contenant un texte défini à un numéro précis.

Bien que nous n’avons observé aucune attaque d’Asacub contre des utilisateurs aux Etats-Unis, l’utilisation du logo d’une des banques américaines les plus importantes suscite des interrogations. Il est évident que ce Trojan connaît une phase de développement active. Il est enrichi de nouvelles fonctions dangereuses qui peuvent être activées à tout moment.

S’agissant de la relation entre Asacub et le Trojan Corebot, nous n’avons trouvé aucun lien entre les deux, à part l’utilisation d’un même centre de commande. Il se pourrait qu’Asacub soit une version mobile de Corebot. Toutefois, le scénario le plus probable est que le même individu malintentionné a acheté les deux Trojans et qu’il les a utilisé en parallèle.

Complément d’informations : Asacub aujourd’hui

A la toute fin de l’année 2015, nous avons détecté une nouvelle modification d’Asacub capable d’exécuter de nouvelles commandes :

  • GPS_track_current : récupération des coordonnées de l’appareil et envoi de celles-ci à l’individu malintentionné ;
  • camera_shot : photographie à l’aide de l’appareil photo ;
  • network_protocol : dans les versions que nous connaissons, la réception de cette commande ne provoque rien, mais il est possible qu’à l’avenir elle permette de modifier le protocole d’interaction entre le malware et le serveur de commande.

Cette modification ne contient pas d’écrans de phishing, mais le code contient malgré tout des références à différentes banques. Le Trojan tente notamment en permanence de fermer la fenêtre d’un l’application officielle d’une banque ukrainienne.

blog_corebot_3

Exemple du code utilisé pour fermer l’application d’une banque.

De plus, l’analyse de la communication entre le Trojan et le serveur de commande nous a permis de voir qu’il recevait très souvent des commandes pour travailler avec le service de banque mobile d’une des plus grandes banques de Russie.

Lors des dernières fêtes de fin d’année, la nouvelle modification s’est répandue sur le territoire russe à l’aide de SMS non sollicités. En une semaine, du 28 décembre 2014 au 4 janvier 2016, nous avons enregistré plus de 6 500 tentatives d’infections d’utilisateurs uniques. Par conséquent, au cours de cette semaine, ce Trojan est entré dans le Top 5 des malwares les plus actifs. Par la suite, l’activité de la nouvelle version d’Asacub a quelque peu diminué et nous allons continuer à suivre l’évolution de la situation.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *