Asacub进化史：如何从间谍软件到银行恶意软件

近日，安全人员对移动端银行木马Trojan-Banker.AndroidOS.Asacub进行了深入分析，发现其恶意功能随着版本的改变不断增加。

早期版本

该木马首次发现于2015年6月上旬，功能类似于间谍软件。早期的Asacub木马会窃取所有的短信并上传到恶意服务器，接收并执行C&C服务器端的以下命令：

1、get_history：向服务器上传浏览器历史记录  2、get_contacts：向服务器上传手机通讯录  3、get_listapp：向服务器上传已安装应用列表  4、block_phone：关闭手机屏幕  5、send_sms：向指定号码发送特定文本

进化版本

Asacub新版本在2015年7月中旬被发现，该版本在界面中使用欧洲银行的logo，而早期版本则主要使用美国银行的logo。

C&C服务器的命令也有所增加：

1、get_sms：向服务器上传所有短信  2、del_sms：删除指定的短信  3、set_time：为C&C链接设置新的时间间隔  4、get_time：为C&C链接上传时间间隔  5、mute_vol：将手机设置成静音  6、start_alarm：开启手机模式，当手机处于白屏状态时处理器仍能继续工作  7、stop_alarm：禁用手机模式  8、block_phone：关闭手机屏幕  9、rev_shell：允许攻击者在设备上远程执行命令  10、intercept_start：开启短信拦截模式  11、intercept_stop：禁用短信拦截模式

其中有一个比较特殊的命令：rev_shell。当接收到该命令时，Asacub会将远程服务器连接到受感染的设备控制台，以方便攻击者在设备上执行命令，并查看这些命令的输出。该功能为后门的典型功能，在银行恶意软件中很少见，因为后者的主要目的是获利，而不是控制设备。

2015年9月发现的Asacub的最新版本的功能则更侧重于窃取银行信息。之前的版本只是使用银行的logo，但是最近的版本中发现了许多使用银行logo的钓鱼界面。

图一 钓鱼界面截图

图一界面所对应的代码名为“ActivityVTB24”，与俄罗斯一家大型银行名称相似，而该界面所对应的文本则指的是乌克兰银行Privat24。

众所周知，9月以后的版本开始出现钓鱼界面，但是也只在银行卡输入界面使用，这意味着，攻击者只是攻击他们所模仿银行的用户。软件启动后，开始窃取所有往来短信，同时也可以执行以下命令：

1、get_history：向服务器上传浏览器历史记录  2、get_contacts：向服务器上传手机通讯录  3、get_cc：显示钓鱼界面，用于获取银行卡信息  4、get_listapp：向服务器上传已安装应用列表  5、change_redir：启用呼叫转移到指定号码  6、block_phone：关闭手机屏幕  7、send_ussd：运行指定的USSD请求  8、update：下载指定链接的文件并安装  9、send_sms：向指定号码发送特定文本

最新版本

在2015年末，研究人员发现了Asacub的新版本，它可以执行如下新命令：

1、GPS_track_current：获取设备的坐标并发送给攻击者  2、camera_shot：使用相机进行截图  3、network_protocol：目前没有发现该与该命令对应的操作，但是将来可能会更改恶意软件与C&C服务器交互的协议

该版本没有钓鱼界面的相关更新，但是代码中仍然涉及到了银行。其中，它会尝试关闭一家乌克兰银行的官方软件。

图二 关闭官方软件的代码

总结

尽管我们还没有受到Asacub攻击的波及，但是该木马对美国银行logo的盗用就是警告信号：Asacub木马在迅速发展，新的恶意功能随时可能被激活。这就意味着所有手机用户都可能成为下一个受害者。建议安全厂商能够针对此恶意软件给用户提供一个安全的解决方案。

*原文地址： securelist ，vul_wish编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）