Die Evolution des Asacub-Trojaners: vom kleinen Fisch zur ultimativen Waffe

Kaspersky Lab hat mit Asacub einen neuen mobilen Bank-Trojaner entdeckt, der sich von einem einfachen Phishing-Programm zu einer fast unschlagbaren Bedrohung entwickelt hat.

Kaspersky Lab hat mit Asacub einen neuen, gefährlichen Bank-Trojaner entdeckt, der seit Anfang Januar Android-Nutzer angreift. Dabei fing der Trojaner als einfaches Phishing-Programm an.

Ein Bank-Trojaner ist ein Schadprogramm, das Geld von Online-Konten und Kreditkarten stiehlt. Aktuelle Versionen des mobilen Bank-Trojaners Asacub tun das, indem sie die Opfer dazu bringen, Kreditkartendaten auf Phishing-Seiten einzugeben. Natürlich gehen diese Daten ausschließlich an die Cyberkriminellen und nicht an eine legitime Bank.

Zunächst gingen die Experten davon aus, dass der Trojaner nur Anwender in Russland und der Ukraine angreift, da die Phishing-Seiten die Login-Seiten russischer und ukrainischer Banken nachahmten. Allerdings fanden die Kaspersky-Forscher auch Phishing-Seiten mit dem Logo einer großen amerikanischen Bank. Abgesehen von gefälschten Login-Seiten nutzt der Trojaner keine anderen Tricks, um an Kreditkartendaten zu kommen; es scheint also, als würden die Täter hinter Asacub nur die Kunden bestimmter Banken angreifen.

bank_screen-3

Aber dennoch ist Asacub weit mehr, als nur ein einfacher Phishing-Betrug. Denn auch wenn er in seinen ersten Versionen nur ein enorm simples Schadprogramm war, so begann damit dennoch seine Evolution. Die erste Version des Schadprogramms, dessen Familie von den Kaspersky-Lösungen als „Trojan-Banker.AndroidOS.Asacub“ entdeckt wird, wurde von den Kaspersky-Experten im Juni 2015 entdeckt. Damals handelte es sich um ein typisches Phishing-Programm, das aus der Ferne über einen Command-and-Control-Server (C&C) verwaltet wurde.

Sobald diese erste Version von Asacub auf einem infizierten Gerät installiert war, versendete der Schädling Informationen wie die Liste der installierten Apps, den Browser-Verlauf und die Kontaktliste an den C&C-Server. Und der junge Asacub-Trojaner konnte auch SMS-Nachrichten an eine bestimmte Telefonnummer schicken sowie den Bildschirm des infizierten Geräts abschalten. Aber das war’s auch schon.

Eine neue Version von Asacub, die bereits höher entwickelte Funktionen besaß, wurde dann im Juli 2015 gefunden. Neben den bereits bekannten Fähigkeiten, konnte diese auch die Kommunikationszyklen mit dem C&C-Server verwalten, SMS-Nachrichten abfangen oder löschen und den SMS-Verlauf an einen entfernten Server schicken.

Die neuere Version hatte noch weitere Funktionen: Sie konnte das Handy stummschalten, die CPU aktiv halten, obwohl der Bildschirm abgeschaltet wurde, und – am wichtigsten – sie konnte den Tätern Zugriff auf das Gerät geben. Der letzte Punkt ist eine klassische Backdoor-Funktion, die selten von mobilen Bank-Trojanern verwendet wird. Ab dieser Version war Asacub wesentlich mehr, als nur ein reines Phishing-Programm.

Im September wurde Asacub dann zu dem Trojaner, den wir heute kennen. Neben allen oben genannten Funktionen kamen auch Phishing-Seiten hinzu, die Kreditkartendaten aus bestimmten mobilen Banking-Apps stehlen. Zudem lernte der Trojaner, wie Anrufe an das Opfer auf eine bestimmte Telefonnummer umgeleitet, USSD-Anfragen geschickt sowie Dateien von schädlichen URLs heruntergeladen und gestartet werden können.

Bis vor kurzem hielt sich Asacub recht still: Die Kaspersky-Forscher kannten die verschiedenen Versionen des Schädlings zwar, registrierten aber keine massiven Angriffe. Doch über die Weihnachtsfeiertage kamen plötzlich mehrere Kampagnen. Roman Unucek, einer der Kaspersky-Experten, die Asacub entdeckten, schrieb dazu: „Das Schadprogramm war bis vor kurzem nicht auf unserem Radar. Doch dann begannen die Täter während der Weihnachtsfeiertage, den Trojaner aktiv zu verbreiten, was Asacub zu einer der schlimmsten mobilen Bedrohungen des neuen Jahres macht.“

Asacub DE

Und tatsächlich haben die Forscher bereits in der ersten Woche des Jahres über 6.500 Entdeckungen registriert, die Asacub zum aktivsten Bank-Trojaner in dieser Woche machten. Bis jetzt registrierten die Experten über 37.000 Infizierungsversuche.

Wenn man sich die Funktionsliste des Trojaners ansieht, könnte man graue Haare bekommen: Nachdem Asacub ein Android-Gerät infiziert hat, erlangt er die komplette Kontrolle über das System. Er kann Daten stehlen (etwa von SMS-Nachrichten mit Bank-Login-Daten), Anrufe weiterleiten, Fotos machen und noch weitere Schadprogramme installieren, etwa Ransomware.

Asacub ist ein Hacker-Komplettpaket. Er kann für Phishing, die Verteilung von Schadprogrammen oder sogar Erpressungen verwendet werden. Momentan sieht es so aus, als würden die Täter das Schadprogramm nur testen. Wir müssen uns also auf massivere Kampagnen mit dem Trojaner einstellen.

Schützen kann man sich vor so einem Schädling nur auf eine Art: mit einer zuverlässigen Sicherheitslösung. Kaspersky Internet Security for Android entdeckt und blockiert alle Versionen von Asacub. Die Vollversion macht das automatisch, wenn Sie die kostenlose Variante nutzen, sollten Sie nicht vergessen, Ihr Gerät regelmäßig zu scannen, um Infizierungen vorzubeugen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.