近日,安全人员对移动端银行木马Trojan-Banker.AndroidOS.Asacub进行了深入分析,发现其恶意功能随着版本的改变不断增加。
早期版本
该木马首次发现于2015年6月上旬,功能类似于间谍软件。早期的Asacub木马会窃取所有的短信并上传到恶意服务器,接收并执行C&C服务器端的以下命令:
1、get_history:向服务器上传浏览器历史记录 2、get_contacts:向服务器上传手机通讯录 3、get_listapp:向服务器上传已安装应用列表 4、block_phone:关闭手机屏幕 5、send_sms:向指定号码发送特定文本
进化版本
Asacub新版本在2015年7月中旬被发现,该版本在界面中使用欧洲银行的logo,而早期版本则主要使用美国银行的logo。
C&C服务器的命令也有所增加:
1、get_sms:向服务器上传所有短信 2、del_sms:删除指定的短信 3、set_time:为C&C链接设置新的时间间隔 4、get_time:为C&C链接上传时间间隔 5、mute_vol:将手机设置成静音 6、start_alarm:开启手机模式,当手机处于白屏状态时处理器仍能继续工作 7、stop_alarm:禁用手机模式 8、block_phone:关闭手机屏幕 9、rev_shell:允许攻击者在设备上远程执行命令 10、intercept_start:开启短信拦截模式 11、intercept_stop:禁用短信拦截模式
其中有一个比较特殊的命令:rev_shell。当接收到该命令时,Asacub会将远程服务器连接到受感染的设备控制台,以方便攻击者在设备上执行命令,并查看这些命令的输出。该功能为后门的典型功能,在银行恶意软件中很少见,因为后者的主要目的是获利,而不是控制设备。
2015年9月发现的Asacub的最新版本的功能则更侧重于窃取银行信息。之前的版本只是使用银行的logo,但是最近的版本中发现了许多使用银行logo的钓鱼界面。
图一 钓鱼界面截图
图一界面所对应的代码名为“ActivityVTB24”,与俄罗斯一家大型银行名称相似,而该界面所对应的文本则指的是乌克兰银行Privat24。
众所周知,9月以后的版本开始出现钓鱼界面,但是也只在银行卡输入界面使用,这意味着,攻击者只是攻击他们所模仿银行的用户。软件启动后,开始窃取所有往来短信,同时也可以执行以下命令:
1、get_history:向服务器上传浏览器历史记录 2、get_contacts:向服务器上传手机通讯录 3、get_cc:显示钓鱼界面,用于获取银行卡信息 4、get_listapp:向服务器上传已安装应用列表 5、change_redir:启用呼叫转移到指定号码 6、block_phone:关闭手机屏幕 7、send_ussd:运行指定的USSD请求 8、update:下载指定链接的文件并安装 9、send_sms:向指定号码发送特定文本
最新版本
在2015年末,研究人员发现了Asacub的新版本,它可以执行如下新命令:
1、GPS_track_current:获取设备的坐标并发送给攻击者 2、camera_shot:使用相机进行截图 3、network_protocol:目前没有发现该与该命令对应的操作,但是将来可能会更改恶意软件与C&C服务器交互的协议
该版本没有钓鱼界面的相关更新,但是代码中仍然涉及到了银行。其中,它会尝试关闭一家乌克兰银行的官方软件。
图二 关闭官方软件的代码
总结
尽管我们还没有受到Asacub攻击的波及,但是该木马对美国银行logo的盗用就是警告信号:Asacub木马在迅速发展,新的恶意功能随时可能被激活。这就意味着所有手机用户都可能成为下一个受害者。建议安全厂商能够针对此恶意软件给用户提供一个安全的解决方案。
*原文地址: securelist ,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)