Asacub, un troyano bancario que evoluciona para atacar a usuarios Android

Escrito por Adrián Crespo

Resulta bastante frecuente encontrar amenazas antiguas cuyos propietarios, o terceras personas, las reciclan para afectar de nuevo a los usuarios. Sucede, sobre todo, en el caso de Windows y Android. Es de este último sistema operativo del que se ha encontrado una amenaza. Para ser más precisos, un troyano bancario conocido con el nombre de Asacub. Si queremos encontrar el origen de esta amenaza nos tenemos que remontar hasta finales del año 2015 y principios de 2016.

La historia de esta amenaza es un tanto rocambolesca. Al igual que sucede con otras amenazas, su funcionalidad muta entre un versión y otra. El motivo no es otro que el cambio de intereses por parte de su propietario. La que nos ocupa, comenzó su andadura como un simple spyware. Apenas unos meses más tarde, una nueva variante dio lugar a un malware enfocado mucho más a la obtención de información bancaria. Es en este momento en el que se puede considerar que se trata de un troyano bancario. Estamos hablando de finales del año 2016.

Sin embargo, desde entonces, podría decirse que Asacub no ha destacado por una actividad significativa en Internet. O, al menos, hasta hace poco.

La familia se ha ampliado en los últimos meses

Durante las últimas semanas, el número de versiones ha aumentado. Lo raro es que no se están distribuyendo las “nuevas”, sino antiguas. La versión más reciente es la 9.x.x. Sin embargo, las que se están distribuyendo en Internet los últimos días son las 5.x.x. Es decir, es un software que, sobre el papel, y atendiendo a la numeración, no cuenta con los últimos avances.

Para ser más precisos, se trata de las versiones 5.0.0 y 5.0.3 las que se pueden encontrar en la actualidad.

Distribución de Asacub

En lo que se refiere a cómo puedo de forma accidental esta amenaza y que llegue a mi dispositivo móvil, los expertos en seguridad han comprobado que se puede obtener tanto en tiendas de aplicaciones no oficiales como a través de anuncios maliciosos. Es decir, redirigiendo al usuario a páginas web de legitimidad más que dudosa.

Se trata de las vías más utilizadas por los ciberdelincuentes y que les permiten alcanzar a un mayor número de usuarios, con permisos de la publicación de malware en la Google Play Store, algo que ya hemos comprobado que resulta bastante factible.

También se ha detectado el envío de MMS fraudulentos con enlaces desde los que se puede descargar la amenaza.

Servidor de control

Al igual que sucede con un número importante de amenazas, esta también establece una comunicación con un servidor de control.

El envío de mensajes se lleva a cabo a través de HTTP, enviando la información con un cifrado aplicado previamente. Sin embargo, tampoco es que sea muy robusto. estamos hablando de base64.

La primera comunicación que realiza con el servidor es para realizar el envío de información general recopilada del smartphone o tablet infectado.

Posteriormente, la actividad no parece muy destacable. Una vez el servidor de control ha inventariado el dispositivo, será este el que envíe comandos para realizar acciones.

Estas son las direcciones de todos los servidores de control disponibles:

  • 155.133.82.181
  • 155.133.82.240
  • 155.133.82.244
  • 185.234.218.59
  • 195.22.126.160
  • 195.22.126.163
  • 195.22.126.80
  • 195.22.126.81
  • 5.45.73.24
  • 5.45.74.130

Fuente > Secure List