Asacub il Trojan per Android: dal furto di informazioni alla frode finanziaria

redazione

Milioni di persone in tutto il mondo utilizzano i propri smartphone per pagare beni e servizi e il 2015 ha visto i cybercriminali sfruttare questa tendenza concentrando i propri sforzi nello sviluppo di programmi finanziari nocivi per i dispositivi mobile. Per la prima volta, un Trojan per il mobile banking è entrato nella Top 10 dei principali malware finanziari e il Trojan Asacub non è altro che un ulteriore esempio di questo trend preoccupante.

La prima versione del Trojan Asacub, scoperta a giugno 2015, era in grado di rubare le liste dei contatti, la cronologia del browser e l’elenco delle app installate, inviare messaggi a determinati numeri e persino bloccare lo schermo del dispositivo infettato. Si tratta delle classiche funzionalità di un tipico Trojan per il furto di informazioni.

Tuttavia, nell’autunno del 2015, gli esperti di Kaspersky Lab hanno scoperto numerose nuove versioni del Trojan Asacub che ne hanno confermato la trasformazione in un tool per il furto di denaro. Una nuova variante infatti includeva una pagina di phishing in grado di imitare le pagine per il log-in delle applicazioni bancarie. Inizialmente, sembrava che Asacub prendesse di mira solo gli utenti di lingua russa, in quanto le versioni contenevano pagine di log-in fasulle di banche russe e ucraine. Dopo ulteriori investigazioni, gli esperti di Kaspersky Lab hanno scoperto una versione con pagine fasulle che imitavano quelle di una grande banca americana. Queste nuove varianti contenevano inoltre un nuovo set di funzioni che comprendeva la deviazione delle chiamate e l’invio di richieste USSD (un particolare servizio per comunicazioni interattive, senza chiamate o sms, tra l’utente e il fornitore del cellulare), che rendevano Asacub uno strumento molto potente per le frodi finanziarie.

Sebbene Kaspersky Lab fosse stato a conoscenza da diverso tempo di varie versioni del Trojan, i sistemi di rilevamento delle minacce dell’azienda non hanno riscontrato alcun segno di campagne Asacub attive fino alla fine del 2015, quando, in una sola settimana, Kaspersky Lab ha identificato più di 6.500 tentativi di infezione degli utenti, che hanno portato il malware a entrare nella Top 5 dei principali Trojan mobile della settimana e a diventare il più diffuso Trojan-Banker.

“Analizzando questo Trojan abbiamo scoperto che il malware Asacub ha legami con i criminali collegati a CoreBot, uno spyware basato su Windows. Il dominio utilizzato dal server di Comando & Controllo di Asacub è registrato a nome della stessa persona a cui appartengono decine di domini che venivano usati da Corebot. È quindi molto probabile che questi due tipi di malware vengano sviluppati o usati dallo stesso gruppo, che considera lo sfruttamento degli utenti che utilizzano il mobile banking di grande valore e fonte di guadagno illecito. Sulla base degli attuali trend, immaginiamo che nel 2016 lo sviluppo e la prevalenza dei malware per il mobile banking continui a crescere ottenendo una quota ancora maggiore nel panorama degli attacchi malware. Gli utenti dovrebbero fare molta attenzione per assicurarsi di non diventare le prossime vittime”, ha commentato Morten Lehn, Managing Director di Kaspersky Lab Italia.