Los clientes bancarios de la región de Asia Central han sido atacados por una nueva variedad de malware para Android con nombre en código Ajina.banquero desde al menos noviembre de 2024 con el objetivo de recopilar información financiera e interceptar mensajes de autenticación de dos factores (2FA).
IB Group, con sede en Singapur, que descubrió la amenaza en mayo de 2024, dijo que el malware se propaga a través de una red de canales de Telegram creados por actores de amenazas bajo la apariencia de aplicaciones legítimas vinculadas a los servicios bancarios, sistemas de pago y servicios gubernamentales, o todos los días. servicios públicos.
“El atacante tiene una red de afiliados motivados por ganancias financieras, que propagan malware bancario para Android dirigido a usuarios comunes”, dijeron los investigadores de seguridad Boris Martynyuk, Pavel Naumov y Anvar Anarkulov. dicho.
Los objetivos de la campaña en curso incluyen países como Armenia, Azerbaiyán, Islandia, Kazajstán, Kirguistán, Pakistán, Rusia, Tayikistán, Ucrania y Uzbekistán.
Existe evidencia que sugiere que algunos aspectos del proceso de distribución de malware en Telegram pueden haberse automatizado para una mayor eficiencia. Las numerosas cuentas de Telegram están diseñadas para distribuir mensajes elaborados que contienen enlaces (a otros canales de Telegram o fuentes externas) y archivos APK a objetivos desprevenidos.
El uso de enlaces que apuntan a canales de Telegram que alojan archivos maliciosos tiene un beneficio adicional: evita las medidas de seguridad y las restricciones impuestas por muchos chats comunitarios, lo que permite que las cuentas escapen las prohibiciones cuando se activa la moderación automática.
Además de abusar de la confianza que los usuarios depositan en servicios legítimos para maximizar las tasas de infección, el modus operandi también implica compartir archivos maliciosos en chats locales de Telegram haciéndolos pasar como obsequios y promociones que afirman ofrecer recompensas lucrativas y acceso exclusivo a servicios.
“El uso de mensajes temáticos y estrategias de promoción localizadas fue particularmente efectivo en los debates comunitarios regionales”, dijeron los investigadores. “Al adaptar su enfoque a los intereses y necesidades de la población local, Ajina pudo aumentar significativamente la probabilidad de infecciones exitosas. »
También se ha observado a los actores de amenazas bombardeando canales de Telegram con múltiples mensajes utilizando múltiples cuentas, a veces simultáneamente, lo que indica un esfuerzo coordinado que probablemente utiliza algún tipo de herramienta de distribución automatizada.
El malware en sí es bastante simple porque, una vez instalado, establece contacto con un servidor remoto y le pide a la víctima que le otorgue permiso para acceder a mensajes SMS, API de números de teléfono e información actual de la red celular, entre otras cosas.
Ajina.Banker puede recopilar información de la tarjeta SIM, una lista de aplicaciones financieras instaladas y mensajes SMS, que luego se filtran al servidor.
Las nuevas versiones del malware también están diseñadas para distribuir páginas de phishing con el objetivo de recopilar información bancaria. Además, pueden acceder a registros de llamadas y contactos, así como abusar de la API de Servicios de Accesibilidad de Android para evitar la desinstalación y otorgarse permisos adicionales.
“La contratación de codificadores Java, que crearon el bot Telegram con la propuesta de ganar dinero, también indica que la herramienta está en desarrollo activo y cuenta con el apoyo de una red de empleados afiliados”, dijeron los investigadores.
“El análisis de los nombres de los archivos, los métodos de distribución de muestras y otras actividades de los atacantes sugiere una familiaridad cultural con la región en la que operan. »
Esta revelación se produce cuando Zimperium descubrió vínculos entre dos familias de malware para Android identificadas como SpyNote y Gigabud (parte de la familia GoldFactory que también incluye GoldDigger).
“Dominios con una estructura muy similar (usando las mismas palabras clave inusuales que los subdominios) y objetivos utilizados para distribuir muestras de Gigabud y también para distribuir muestras de SpyNote”, dijo la compañía. dicho“Esta superposición en la distribución muestra que es probable que el mismo actor de amenazas esté detrás de ambas familias de malware, lo que indica una campaña bien coordinada y a gran escala. »