A novembre 2023 , i clienti delle banche nella regione dell’Asia centrale sono stati presi di mira da una nuova variante di malware Android, nome in codice: “Ajina.Banker”, ha l’obiettivo di raccogliere informazioni finanziarie e intercettare i messaggi di autenticazione a due fattori (2FA), il che lo rende molto pericoloso per le nostre applicazioni bancarie.
Group-IB, con sede a Singapore, che ha scoperto la minaccia nel maggio 2024, ha affermato che il malware si propaga tramite una rete di canali Telegram creati dagli autori della minaccia sotto copertura di applicazioni legittime correlate a servizi bancari, sistemi di pagamento e servizi governativi o servizi di pubblica utilità.
L’aggressore ha una rete di affiliati motivati dal desiderio di guadagno finanziario, che diffonde malware bancari Android e prende di mira gli utenti comuni
hanno affermato i ricercatori di sicurezza Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Tra i bersagli della campagna in corso figurano paesi come Armenia, Azerbaigian, Islanda, Kazakistan, Kirghizistan, Pakistan, Russia, Tagikistan, Ucraina e Uzbekistan.
Il malware in sé è piuttosto semplice: una volta installato, stabilisce un contatto con un server remoto e chiede alla vittima di concedergli l’autorizzazione ad accedere a messaggi SMS, API di numeri di telefono e informazioni correnti sulla rete cellulare, tra le altre cose.
Ajina.Banker è in grado di raccogliere informazioni sulla scheda SIM, un elenco delle app finanziarie installate e messaggi SMS, che vengono poi trasmesse al server.
Le nuove versioni del malware sono anche progettate per servire pagine di phishing nel tentativo di raccogliere informazioni bancarie. Inoltre, possono accedere ai registri delle chiamate e ai contatti, nonché abusare dell’API dei servizi di accessibilità di Android per impedire la disinstallazione e concedersi permessi aggiuntivi.
Google ha dichiarato di non aver trovato alcuna prova che il malware si sia propagato tramite il Google Play Store e che gli utenti Android sono protetti dalla minaccia da Google Play Protect, attivo di default sui dispositivi Android con Google Play Services.
L’assunzione di programmatori Java, che hanno creato un bot Telegram con la proposta di guadagnare qualche soldo, indica anche che lo strumento è in fase di sviluppo attivo e ha il supporto di una rete attiva di affiliati
hanno affermato i ricercatori.
L’analisi dei nomi dei file, dei metodi di distribuzione dei campioni e di altre attività degli aggressori suggerisce una la regione in cui operano.
La divulgazione avviene mentre Zimperium ha scoperto collegamenti tra due famiglie di malware Android, identificate come SpyNote e Gigabud (che fa parte della famiglia GoldFactory che include anche GoldDigger).
Domini con una struttura molto simile (che utilizzano le stesse parole chiave insolite dei sottodomini) e obiettivi utilizzati per diffondere campioni Gigabud e sono stati utilizzati anche per distribuire campioni SpyNote
ha affermato la società .
Questa sovrapposizione nella distribuzione mostra che lo stesso attore della minaccia è probabilmente dietro entrambe le famiglie di malware, il che indica una campagna ben coordinata e ampia.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK https://amzn.eu/d/6dcujGr
@EBOOK (English version) https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ