Asacub trójai


2016. január 22. 09:05

CH azonosító

CH-12973

Angol cím

Asacub trojan

Felfedezés dátuma

2016.01.19.

Súlyosság

Közepes

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

Az Asacub egy android trójai, mely ellopja a fertőzött eszközön található banki adatokat.

Leírás

A kártevőt először 2015 júniusában észlelték. Ekkor a funkcionalitását tekintve inkább spywarenak volt tekinthető mint egy banki trójainak. Az első variánsok tároltak minden bejövő SMS üzenetet tekintet nélkül attól, hogy ki küldte, majd feltöltötte egy szerverre. Továbbá az alábbi parancsokat tudta fogadni és feltölteni egy vezérlőszerre (chugumshimusona[.]com):

  • böngészési előzmény feltöltése
  • névjegyek feltöltése
  • telepített alkalmazások listája
  • képernyő kikapcsolása
  • SMS küldése egy megadott számra

A következő verziót egy hónappal később azonosították, ez már nem csak az Egyesült Államok legnagyobb bankjának logóját volt képes mutatni, hanem belekerültek európai bankoké is, valamint az elvégezhető parancsok számát tekintve drasztikusan okosodott. Immáron képes volt törölni SMS-t, lehalkítani a telefont, és egy távoli shell is rendelkezésére állt a támadónak mellyel bármit megtehetett. Az utóbbi nem egy hátsó kapu miatt lett beépítve, kizárólag a pénzlopás miatt fejlesztették.

A következő variáns amit szeptemberben fedeztek fel, méginkább a banki adatok lopására fókuszál, immáron adathalász ablakokkal támad, amin a bank logója is szerepel. Az adathalász képernyőn csak a bankkártyák számát lopják el. Ez azt jelentheti, hogy a kártevő megalkotói egyenlőre csak tervezik a támadásokat vagy egy újabb variáns már képes lehet rá.

Az őszi verzió ugyanúgy ellopja az összes SMS üzenetet és újabb parancsokat képes fogadni úgy mint:

  • hivás átirányítás kezdményezése
  • USSD kérés indítása
  • egy fájl letöltése, és futtatása az eszközön

A kártevő legújabb variánsa 2015 végén került felfedezésre, és további újabb parancsokat képes végrehajtani:

  • GPS koordináták küldése
  • fényképek készítése
  • és a vezérlőszerverrel való kommunikációs protokoll megváltoztatása, mely egyenlőre nincs hatással a működésre, valószínűleg ez is egy későbbi akcióra utalhat

A karácsonyi időszak alatt Oroszországban SMS adathalász támadás során használták fel, és 6500 fertőzést ért el, és a kártevő a Top5 mobil kártevő közé került.

Megoldás

  • Tartsa naprakészen az operációs rendszert
  • Kizárólag megbízható forrásokból telepítsen alkalmazásokat
  • Körültekintően adjon jogosultságokat az alkalmazásainak

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: securelist.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »