کمیته رکن چهارم – در ماه ژانویه لابراتوار کسپرسکی یک تروجان Asacub فعال را کشف کرد که به حسابهای کاربران اندروید حملهور شده بود. کارشناسان موفق به ردیابی سیر تکامل این تروجان شدند.
به گزارش کمیته رکن چهارم،تروجانهای بانکی یک نوع نرمافزار مخرب میباشند که با نصب بر روی یک دستگاه تلفن همراه با استفاده از روشهای خاص از کارتهای اعتباری کاربران پول سرقت میکنند. در نسخههای اخیر تروجان Asacub فریب کاربران توسط ارسال پول از کارتهای اعتباری به صفحات فیشینگ انجام شده است.
بدیهی است که این کار را هیچ بانکی انجام نمیدهد.
در ابتدای تحقیق، محققان متوجه شدند که این تروجان بانکی انحصارا کشورهای روسیه و اوکراین را مورد هدف قرار داده است. این مسئله از طریق شباهت صفحات بانکهای روسی و اوکراینی به صفحات فیشینگ شده فاش شد.
به کارشناسان لابراتوار کسپرسکی اجازه داده شد تا یک بانک بزرگ آمریکایی که کاربران زیادی در ایالات متحده دارد را مورد آزمایش قرار بدهند. کارشناسان پس از ساختن یک صفحه فیشینگ و قرار دادن بدافزار در سیستم متوجه شدند که اطلاعات کارتهای اعتباری در مسیر انحرافی قرار نمیگیرند. پس طبق این شرایط به نظر میرسد که سازندگان این تروجان را برای بانکهای خاصی ساختهاند.
با این وجود تروجان Asacub کارهایی خیلی بیشتر از یک فیشینگ ساده میتواند انجام دهد. تواناییهای این تروجان با بررسی سیر تکامل آن از نسخههای اولیه تا نسخه اخیر کاملا مشخص شده است. لازم به ذکر است که نسخه هم خانواده این تروجان به نام Trojan – Banker.AndroidOS.Asacub توسط تیم تحقیقاتی لابراتوار کسپرسکی در ماه ژوئن ۲۰۱۵ کشف شد.
این تروجان نمونهای معمولی بود که تواناییهایی از قبیل اجرای برنامههای فیشینگ، اداره و کنترل و فرماندهی سرورها از راه دور را داشت.
زمانیکه اولین نسخه Asacub بر روی یک دستگاه آسیبدیده نصب میشد قادر بود تا اطلاعات خاصی را از قبیل ارسال فهرست برنامهها، تاریخچه مرورگر وفهرست تماسها را انجام دهد و اینگونه اطلاعات را بر روی یک سرور کنترل از راه دور C&C میفرستاد. نسخههای اولیه این تروجان کارهای دیگری از قبیل ارسال پیامهای کوتاه به یک شماره خاص انجام میداد که پس از این صفحه نمایش گوشی مربوطه خاموش میشد.
نسخه جدید Asacub در ماه جولای کشف شد. این نسخه دارای مجموعه ابزارهای بسیار پیشرفتهای میباشد. علاوه بر قابلیتهای قبلی، این مجموعه قادر است مدیریت چرخه ارتباطات C&C، رهگیری و یا حذف پیامهای متنی و بارگذاری تاریخچه پیامهای کوتاه به سرور را از راه دور انجام دهد.
نسخههای جدیدتر دارای قابلیتهای انگشتشماری از قبیل: قطع تلفن، فعال نگه داشتن CPU حتی در زمانی که صفحه نمایش خاموش است و دادن این دسترسیها به مجرمین میباشد.
نسخهای که از این تروجان در ماه سپتامبر کشف شد نشان داد که علاوه بر قابلیتهای فوق توانایی فیشینگ صفحه نمایش و سرقت اطلاعات کارتهای بانکی کاربران را از طریق تلفن همراه دارد. این تروجان از طرف قربانی تماس تلفنی، ارسال درخواستهای USSD، دانلود و اجرای فایلها از روی URL ها را انجام میداد.
در این اواخر دیگر این تروجان تمامی قوانین را زیر پا گذاشت. محققان لابراتوار کسپرسکی از تکرار چند باره این نرمافزار آگاه بودند اما هیچ حملات گستردهای را از طرف آن مشاهده نکردند تا زمانیکه در کریسمس متوجه چند برنامه مشکوک شدند. Roman Unecek یکی از کارشناسانی بود که تروجان Asacub را کشف کرد. وی گفته است: “این بدافزار در طول تعطیلات کریسمس در رادار ما قرار گرفت و مشخص شد که در نهایت یکی از بدنامترین تهدیداتی میباشد که بر علیه تلفنهای همراه در سال ۲۰۱۶ ساخته شده است.”
در واقع محققان بیش از ۶۵۰۰ تروجان بانکی فعال Asacub را در هفته اول شناسایی کردند و در حال حاضر بیش از ۳۷۰۰۰ نوع از این آلودگی به ثبت رسیده است.
اگر حتی بخواهید یک نگاه سریع به فهرست ویژگی تروجانها داشته باشید موهایتان سفید میشود. حال دیگر باید گفت که با بودن تروجان Asacub دستاورد کاملی بر کنترل دستگاههای اندروید بوجود آمده است. این امر قادر به سرقت اطلاعات (از طریق ارسال مدارک بانکی با پیام کوتاه)، تماسهای فوروارد شده، عکسهایی که از صفحه نمایش گرفته شده و حتی نصب نرمافزارهای مخرب دیگر مانند باجافزارها میباشد.
Asacub میتواند تمام دارایی یک هکر باشد. از این تروجان برای فیشینگ، توزیع بدافزارها و یا حتی تهدیدات سایبری استفاده میشود. در حال حاضر به نظر میرسد که مهاجمین و استفاده کنندگان این بدافزار فقط در حال آزمایش ابزارهای موجود آن میباشند و ما باید آماده یک مبارزه عظیم و پیشبینی شده باشیم.
تنها یک راه کاربردی برای حفاظت از ما در برابر این تهدید وجود دارد: یک آنتیویروس قوی. Kaspersky Internet Security اندروید قادر به تشخیص و مسدود کردن تمام نسخههای موجود یک Asacub است. اگر از نسخه رایگان آنتیویروس استفاده میکنید فراموش نکنید که برای جلوگیری از آلودگی توسط این تروجان باید اسکن را به صورت دستی و منظم انجام دهید.
منبع:رسانه خبری امنیت اطلاعات