I clienti delle banche nella regione dell’Asia centrale sono stati presi di mira da un nuovo ceppo di malware per Android, denominato Ajina.Banker, almeno dal novembre 2023, con l’obiettivo di rubare informazioni finanziarie e intercettare i messaggi di autenticazione a due fattori (2FA).
Ajina.banker e le sue misteriose origini
Il malware ajina.banker, scoperto nel maggio 2024 dalla società con sede a Singapore Group-IB, viene diffuso attraverso una rete di canali Telegram creati dagli stessi malintenzionati dietro ajina.banker, mascherati come applicazioni legittime legate a sistemi bancari, di pagamento, servizi governativi o utilità quotidiane.
“I criminali hanno una rete di affiliati motivati da guadagni finanziari, che diffondono il malware bancario Android rivolto agli utenti comuni“, hanno dichiarato i ricercatori di sicurezza Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Gli obbiettivi di Ajina.banker
I paesi coinvolti nella campagna in corso includono Armenia, Azerbaigian, Islanda, Kazakistan, Kirghizistan, Pakistan, Russia, Tagikistan, Ucraina e Uzbekistan.
Esistono prove che suggeriscono che alcuni aspetti del processo di distribuzione del malware basato su Telegram potrebbero essere stati automatizzati per migliorarne l’efficienza; i numerosi account Telegram sono progettati per inviare messaggi creati ad hoc contenenti link, sia verso altri canali Telegram che verso fonti esterne, e file APK agli ignari bersagli.
L’uso di link che puntano a canali Telegram che ospitano i file dannosi ha il vantaggio di aggirare le misure di sicurezza e le restrizioni imposte da molte chat di comunità, permettendo così agli account di evitare i ban quando viene attivata la moderazione automatica.
Lo sfruttamento di servizi completamente legittimi di Ajina.banker
Oltre a sfruttare la fiducia che gli utenti ripongono nei servizi legittimi per massimizzare i tassi di infezione, il modus operandi include la condivisione dei file dannosi nelle chat locali di Telegram, facendoli passare come omaggi o promozioni che promettono premi allettanti e accesso esclusivo ai servizi.
“L’uso di messaggi a tema e strategie di promozione localizzate si è rivelato particolarmente efficace nelle chat delle comunità regionali“, hanno detto i ricercatori. “Adeguando il loro approccio agli interessi e alle necessità della popolazione locale, Ajina è riuscito ad aumentare significativamente la probabilità di infezioni riuscite.”
I criminali informatici dietro ad ajina-banker sono stati inoltre osservati mentre bombardavano i canali Telegram con numerosi messaggi utilizzando più account, talvolta contemporaneamente, indicando uno sforzo coordinato che probabilmente impiega uno strumento di distribuzione automatizzato.
Ajina.banker: tanto semplice quanto “letale”
Il malware è abbastanza semplice: una volta installato, stabilisce un contatto con un server remoto e richiede alla vittima il permesso di accedere ai messaggi SMS, alle API dei numeri di telefono e alle informazioni sulla rete cellulare corrente, tra le altre cose.
Ajina.Banker è in grado di raccogliere informazioni sulle schede SIM, un elenco di app finanziarie installate e i messaggi SMS, che vengono poi esfiltrati al server.
Le nuove versioni del malware sono progettate anche per fornire pagine di phishing nel tentativo di raccogliere informazioni bancarie; oltretutto possono accedere ai registri delle chiamate e ai contatti, nonché abusare delle API dei servizi di accessibilità di Android per impedire la disinstallazione e garantirsi permessi aggiuntivi.
Google Play Store: Ajina.banker sembrerebbe non averlo toccato
Google ha dichiarato che non ha trovato prove che il malware venga diffuso tramite Google Play Store e che gli utenti Android sono protetti dalla minaccia da Google Play Protect, che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services.
“L’assunzione di programmatori Java e la creazione di bot Telegram con la proposta di guadagnare denaro indicano anche che lo strumento è in fase di sviluppo attivo e ha il supporto di una rete di affiliati“, hanno dichiarato i ricercatori.
I ricercatori hanno poi ribadito che: “L’analisi dei nomi dei file, dei metodi di distribuzione dei campioni e di altre attività degli attaccanti suggerisce una familiarità culturale con la regione in cui operano.”
La rivelazione arriva mentre Zimperium ha scoperto collegamenti tra due famiglie di malware Android note come SpyNote e Gigabud (che fa parte della famiglia GoldFactory, che include anche GoldDigger).
“I domini con una struttura molto simile (usando le stesse parole chiave insolite come sottodomini) e i target usati per diffondere campioni di Gigabud sono stati utilizzati anche per distribuire campioni di SpyNote“, ha dichiarato la società. “Questa sovrapposizione nella distribuzione mostra che probabilmente lo stesso criminale informatico [o gruppo di criminali informatici] è dietro entrambe le famiglie di malware, indicando una campagna ben coordinata e ampia.”
