קספרסקי: נחשפה נוזקה נגד משתמשי אנדרואיד ליצירת רווח פיננסי

נחשפה נוזקה שעשתה "הסבה" וכעת היא מכוונת נגד משתמשים ליצירת רווח פיננסי. את הנוזקה, Asacub, ואת יעודה החדש חשפו חוקרי קספרסקי (Kaspersky Lab).

כאשר זוהתה בראשונה, Asacub, ש"התלבשה" על מכשירים מבוססי אנדרואיד, הראתה את כל הסימנים של קוד זדוני אשר מטרתו גניבת מידע. אולם גרסאות מאוחרות של הטרויאני היו ממוקדות במשתמשי בנקאות מקוונת.

כשני מיליון אנשים בעולם משתמשים במכשירים הניידים שלהם, כדי לשלם עבור סחורות ושירותים. עברייני הסייבר ניצלו זאת במהלך 2015 באמצעות מיקוד מאמצים לפיתוח תוכנות זדוניות פיננסיות – עבור מכשירים ניידים. בכך, בראשונה, טרויאני לבנקאות ניידת נכנס לרשימת 10 הנוזקות הנפוצות לגניבת כספים. על פי חוקרי ענקית האבטחה הרוסית, "הטרויאני, Asacub, הוא עדות נוספת למגמה המדאיגה הזו".

הגרסה הראשונה של Asacub, אשר נחשפה ביוני 2015, הייתה מסוגלת לגנוב רשימת אנשי קשר, היסטוריית דפדפן ורשימה של אפליקציות מותקנות, לשלוח SMS למספרים נתונים וגם לחסום את המסך של מכשיר נגוע. כל אלו הן פונקציות סטנדרטיות של טרויאני לגניבת מידע. בסתיו 2015, מומחי קספרסקי חשפו כמה גרסאות חדשות של Asacub, שאימתו את הפיכת הנוזקה לכלי לגניבת כספים. אל הגרסה הראשונה התווספו דפי פישינג, המחקים דפי כניסה לאפליקציות בנקאות. במבט ראשון נראה כאילו Asacub כיוון רק למשתמשים דוברי רוסית, בגלל שהתוספות הכילו דפי כניסה מזויפים של בנקים ברוסיה ואוקראינה. אולם אז התגלתה גרסה עם דפים מזויפים של בנק גדול בארצות הברית. גרסאות חדשות אלו הכילו מערך חדש של יכולות, כולל הפנית שיחות ושליחת בקשות USSD. מדובר בשירות מיוחד לתקשורת ללא-קול, ללא- SMS – בין משתמש וספק הסלולר. "היכולות הללו הפכו את Asacub לכלי עוצמתי להונאות פיננסיות".

עד סוף 2015, מערכת זיהוי האיומים של ענקית האבטחה הרוסית כמעט ולא ראתה סימנים לקמפיינים פעילים של Asacub. אז, בתוך שבוע אחד בלבד, מעבדת קספרסקי זיהתה יותר מ-6,500 ניסיונות להדביק משתמשים עם הקוד הזדוני, והנוזקה הפכה לאחד מחמשת הטרויאנים הפופולריים ביותר לניידים באותו שבוע, והטרויאני המוביל לבנקאות.

לדברי רומן אונצ'ק, אנליסט קוד זדוני בכיר, במעבדת קספרסקי ארצות הברית, "כשמנתחים את הנוזקה, מוצאים כי ל-Asacub יש קשרים לעבריינים שיש להם קשר לתוכנת ריגול למערכת Windows הנקראת CoreBot. הדומיין ששימש את מרכז הפיקוח והשליטה של Asacub – רשום על שם אותו אדם, כמו עשרות דומיינים ששימשו את CoreBot". לכן, אמר, "סביר מאוד ששני סוגים אלה של נוזקות פותחו, או היו בשימוש על ידי אותה כנופיה. זו זיהתה ערך גבוה הקיים בניצול משתמשים של בנקאות מקוונת. בהתבסס על מגמות עכשוויות, אנו יכולים להעריך כי ב-2016, הפיתוח של קוד זדוני לבנקאות ניידת ושליטתו בתחום – ימשיכו לצמוח ולהוות חלק גדול מאי פעם של התקפות מקוונות. משתמשים צריכים להיות זהירים במיוחד – כדי להבטיח שהם לא הופכים לקורבן הבא".