La evolución de Asacub: de pequeño troyano a arma definitiva

Kaspersky Lab ha descubierto un nuevo troyano bancario llamado Asacub, que ha evolucionado de ser un simple programa de phishing a ser una de las mayores amenazas

Kaspersky Lab ha descubierto a Asacub, un troyano bancario que ha empezado a atacar a los usuarios de Android este enero. Nuestros expertos han conseguido seguir su evolución paso a paso.

asacub-trojan-featured

Un troyano bancario es un tipo de malware que se instala en el dispositivo móvil y emplea ciertas técnicas para robar el dinero de las tarjetas de crédito de los usuarios. Las recientes versiones de Asacub lo consiguen engañando al usuario para que introduzca las credenciales de su tarjeta de crédito mediante pantallas de phishing. Obviamente, estos datos no acaban en un auténtico banco.

En un primer momento, los investigadores sugirieron que este troyano tenía como objetivo exclusivamente a Rusia y Ucrania, ya que el phishing se parecía a las pantallas de inicio de sesión de algunos bancos rusos y ucranianos. Sin embargo, siguiendo con su investigación, los investigadores de Kaspersky Lab identificaron una versión adicional destinada a los usuarios de Estados Unidos, ya que otra pantalla de phishing mostraba el logotipo de un importante banco estadounidense. Además de las falsas pantallas de inicio de sesión, el malware no recurre a otros métodos para sustraer los datos de las tarjetas de crédito; por lo tanto, parece que los creadores de Asacub solo han dirigido su ataque a algunos bancos seleccionados.

bank_screen-3
Sin embargo, Asacub es mucho más que una simple estafa de phishing, a pesar de que en sus inicios se trataba de un sencillo malware, evolucionó desde los rangos más bajos de la jerarquía de malware.

La primera aparición del malware, detectado por los productos de Kaspersky Lab como “Trojan-Banker.AndroidOS.Asacub”, fue descubierta por nuestro equipo de investigación en junio de 2015. En aquel entonces, se trataba del típico programa de phishing, gestionado de forma remota desde un servidor de mando y control.

Al instalarse en el dispositivo afectado, la primera versión de Asacub podía mandar cierta información a un servidor de mando y control (C&C, Command and Control, en inglés), como la lista de apps, el historial de búsqueda o la lista de contactos. Esta versión también podía enviar mensajes SMS a números de teléfonos concretos y apagar la pantalla a voluntad. Básicamente, esto era todo lo que podía hacer.

En julio se descubrió una nueva versión de Asacub y contaba con unas características mucho más avanzadas. Además de las características ya mencionadas, también podía gestionar los ciclos de comunicación C&C, interceptar o eliminar mensajes de texto y subir el historial de SMS a un servidor remoto.

La siguiente versión contó con todo un conjunto de nuevas características: la capacidad de silenciar el móvil, mantener la CPU activa aunque la pantalla esté apagada, y, lo que es aún más importante, permitía a los criminales acceder a la consola. Esta última característica es una clásica puerta trasera y no la suelen utilizar los troyanos bancarios. Desde esta versión en adelante, Asacub se ha convertido en algo mucho más peligroso que un mero programa de phishing.

En septiembre, Asacub se convirtió en lo que es actualmente. Además de las características mencionadas, empezó a utilizar pantallas de phishing para sustraer los datos de las tarjetas de crédito de las apps de banca electrónica seleccionadas. Además, ahora cuenta con la posibilidad de redirigir las llamadas de la víctima a un número de teléfono en concreto, enviar solicitudes USSD y descargar y ejecutar archivos desde enlaces corruptos.

Hasta hace poco, Asacub ha permanecido en un segundo plano: los investigadores de Kaspersky Lab estaban al tanto de este malware, pero no había indicios de ataques masivos perpetrados por Asacub, hasta que las Navidades pasadas se descubrieron varias campañas. Roman Unucek, uno de los expertos que descubrió Asacub, afirma:

“El malware se mantuvo fuera de nuestro radar hasta hace poco, cuando los criminales empezaron a distribuir Asacub durante las vacaciones de Navidad, convirtiéndose en una de las mayores amenazas móviles de 2016″.

Asacub ES

De hecho, los investigadores detectaron más de 6.500 ataques en tan solo una semana, por lo que Asacub se convirtió en el troyano bancario más activo en tan corto periodo de tiempo.

Un rápido vistazo a la lista de características del troyano puede traerte más de un quebradero de cabeza. Al infectar un dispositivo Android, Asacub obtiene el control total del sistema. Puede robar información (desde mensajes SMS a credenciales bancarias), redirigir llamadas, tomar fotografías e incluso instalar otro malware probablemente incluyendo ransomware.

Asacub es un troyano muy completo. Podría utilizarse para el phishing, para distribuir malware o incluso para hacer chantaje. Según parece, los criminales simplemente están probando el conjunto de herramientas disponibles, pero tenemos razones para anticiparnos a una posible campaña masiva.

Solo hay una forma de protegerse de esta amenaza: con un fuerte antivirus. Kaspersky Internet Security para Android es capaz de detectar y bloquear todas las versiones existentes de Asacub. La versión de pago lo hace automáticamente. Si utilizas la versión gratuita del antivirus, no olvides ejecutar análisis manuales con frecuencia para prevenir la infección.

Consejos