Los clientes bancarios de la región de Asia Central han sido blanco de una nueva cepa de malware para Android con nombre en código Ajina.Banker desde al menos noviembre de 2024 con el objetivo de recopilar información financiera e interceptar mensajes de autenticación de dos factores (2FA).
Group-IB, con sede en Singapur, que descubrió la amenaza en mayo de 2024, dijo que el malware se propaga a través de una red de canales de Telegram creados por los actores de la amenaza bajo la apariencia de aplicaciones legítimas relacionadas con la banca, los sistemas de pago y los servicios gubernamentales o los servicios públicos cotidianos.
«El atacante tiene una red de afiliados motivados por el beneficio económico, que difunden malware bancario para Android dirigido a usuarios comunes», dijeron los investigadores de seguridad Boris Martynyuk, Pavel Naumov y Anvar Anarkulov .
Los objetivos de la campaña en curso incluyen países como Armenia, Azerbaiyán, Islandia, Kazajstán, Kirguistán, Pakistán, Rusia, Tayikistán, Ucrania y Uzbekistán.
Hay evidencia que sugiere que algunos aspectos del proceso de distribución de malware basado en Telegram pueden haberse automatizado para mejorar la eficiencia. Las numerosas cuentas de Telegram están diseñadas para enviar mensajes elaborados que contienen enlaces (ya sea a otros canales de Telegram o a fuentes externas) y archivos APK a objetivos involuntarios.
El uso de enlaces que apuntan a canales de Telegram que alojan archivos maliciosos tiene un beneficio adicional, ya que evita las medidas de seguridad y las restricciones impuestas por muchos chats de la comunidad, lo que permite que las cuentas evadan las prohibiciones cuando se activa la moderación automática.
Además de abusar de la confianza que los usuarios depositan en servicios legítimos para maximizar las tasas de infección, el modus operandi también implica compartir los archivos maliciosos en los chats locales de Telegram haciéndolos pasar por obsequios y promociones que pretenden ofrecer recompensas lucrativas y acceso exclusivo a los servicios.
«El uso de mensajes temáticos y estrategias de promoción localizadas resultó ser particularmente eficaz en los chats comunitarios regionales», afirmaron los investigadores. «Al adaptar su enfoque a los intereses y necesidades de la población local, Ajina pudo aumentar significativamente la probabilidad de infecciones exitosas».
También se ha observado a los actores de amenazas bombardeando canales de Telegram con varios mensajes utilizando múltiples cuentas, a veces simultáneamente, lo que indica un esfuerzo coordinado que probablemente emplea algún tipo de herramienta de distribución automatizada.
El malware en sí es bastante sencillo: una vez instalado, establece contacto con un servidor remoto y solicita a la víctima que le conceda permiso para acceder a mensajes SMS, API de números de teléfono e información actual de la red celular, entre otros.
Ajina.Banker es capaz de recopilar información de la tarjeta SIM, una lista de aplicaciones financieras instaladas y mensajes SMS, que luego se filtran al servidor.
Las nuevas versiones del malware también están diseñadas para ofrecer páginas de phishing con el objetivo de recopilar información bancaria. Además, pueden acceder a registros de llamadas y contactos, así como abusar de la API de servicios de accesibilidad de Android para evitar la desinstalación y otorgarse permisos adicionales.
«La contratación de programadores de Java, que crearon un bot en Telegram con la propuesta de ganar algo de dinero, también indica que la herramienta está en proceso de desarrollo activo y cuenta con el apoyo de una red de empleados afiliados», dijeron los investigadores.
«El análisis de los nombres de los archivos, los métodos de distribución de muestras y otras actividades de los atacantes sugieren una familiaridad cultural con la región en la que operan».
La revelación se produce cuando Zimperium descubrió vínculos entre dos familias de malware para Android conocidas como SpyNote y Gigabud (que es parte de la familia GoldFactory que también incluye GoldDigger).
«Los dominios con una estructura muy similar (que utilizan las mismas palabras clave inusuales como subdominios) y los objetivos utilizados para difundir muestras de Gigabud también se utilizaron para distribuir muestras de SpyNote», afirmó la empresa . «Esta superposición en la distribución muestra que es probable que el mismo actor de amenazas esté detrás de ambas familias de malware, lo que apunta a una campaña amplia y bien coordinada».
Fuente y redacción: thehackernews.com