Los clientes bancarios en Asia Central han sido atacados por una nueva variante de malware Android llamada Ajina.Banker desde noviembre de 2024. El objetivo es obtener información financiera e interceptar mensajes de autenticación de dos factores (2FA).
El Grupo-IB, con sede en Singapur, descubrió la amenaza en mayo de 2024. Según los investigadores Boris Martynyuk, Pavel Naumov y Anvar Anarkulov, el malware se propaga a través de una red de canales de Telegram utilizados por actores de amenazas como aplicaciones legítimas relacionadas con la banca, sistemas de pago, servicios gubernamentales y utilidades cotidianas.
Los países afectados por la campaña incluyen Armenia, Azerbaiyán, Islandia, Kazajistán, Kirguistán, Pakistán, Rusia, Tayikistán, Ucrania y Uzbekistán. El proceso de distribución del malware basado en Telegram parece haber sido automatizado para mejorar la eficiencia.
El uso de enlaces que apuntan a canales de Telegram que alojan los archivos maliciosos es beneficioso para eludir medidas de seguridad y restricciones impuestas por muchos chats comunitarios.
Además de abusar de la confianza de los usuarios en servicios legítimos, el modus operandi del malware implica compartir archivos maliciosos en chats locales de Telegram, haciéndolos pasar por obsequios y promociones que ofrecen recompensas lucrativas y acceso exclusivo a servicios.
Los investigadores también destacaron que el uso de mensajes temáticos y estrategias de promoción localizadas aumentó la probabilidad de infecciones exitosas.
Los actores de amenazas han sido observados bombardeando los canales de Telegram con mensajes utilizando múltiples cuentas, lo que sugiere un esfuerzo coordinado que probablemente emplee alguna herramienta de distribución automatizada.
Una vez instalado, el malware Ajina.Banker solicita al usuario permiso para acceder a mensajes de SMS, API de números de teléfono e información celular, entre otros. Es capaz de recopilar información de la tarjeta SIM y de las aplicaciones financieras instaladas, así como mensajes de SMS, que son enviados al servidor.
El malware también puede servir páginas de phishing para recopilar información bancaria, acceder a la lista de llamadas y contactos, y abusar de la API de servicios de accesibilidad de Android.
La existencia de nuevas versiones del malware y la contratación de programadores de Java sugieren que la herramienta está en desarrollo activo y cuenta con el respaldo de una red de empleados afiliados.
La divulgación se produjo cuando Zimperium descubrió vínculos entre dos familias de malware de Android rastreadas como SpyNote y Gigabud. Según la compañía, esta superposición en la distribución muestra que es probable que el mismo actor de amenazas esté detrás de ambas familias de malware, apuntando a una campaña bien coordinada y amplia.
Vía The Hacker News