С ноября 2023 года клиенты банков в Центральной Азии стали мишенью для нового штамма Android-вредоносного ПО, получившего кодовое название Ajina.Banker. Цель этого вредоносного ПО — кража финансовой информации и перехват сообщений для двухфакторной аутентификации (2FA).
Компания Group-IB, которая обнаружила угрозу в мае 2024 года, сообщила, что вредоносное ПО распространяется через сеть Telegram-каналов, созданных злоумышленниками под видом легитимных приложений, связанных с банковскими услугами, платежными системами, государственными сервисами или повседневными утилитами.
"Злоумышленники организовали сеть аффилированных лиц, мотивированных финансовой выгодой, распространяющих Android-банковский вирус, нацеленный на обычных пользователей", — сообщили исследователи безопасности Борис Мартынюк, Павел Наумов и Анвар Анаркулов.
Использование ссылок на Telegram-каналы, где размещены вредоносные файлы, помогает обходить меры безопасности и ограничения многих чатов. Это позволяет злоумышленникам избежать блокировки при автоматической модерации.
Они также маскируют вредоносные файлы под акции и раздачи с обещанием крупных вознаграждений и эксклюзивных услуг, что повышает вероятность заражения. Такие методы особенно эффективны в локальных чатах, так как сообщения адаптированы к интересам и потребностям местных пользователей. Это позволяет Ajina увеличить успех своих атак.
Также злоумышленники используют несколько аккаунтов для массовой рассылки сообщений одновременно, что указывает на скоординированную атаку с возможной автоматизацией.
Само вредоносное ПО работает достаточно просто: после установки оно связывается с удалённым сервером и запрашивает у пользователя разрешение на доступ к SMS, номерам телефонов и информации о сети.
Ajina.Banker собирает данные о SIM-карте, установленных финансовых приложениях и сообщения, которые затем отправляет на сервер. Новые версии этого вируса также пытаются собирать банковскую информацию через фишинговые страницы. Вирус может получить доступ к журналам вызовов, контактам и использовать службы доступности Android, чтобы предотвратить удаление и получить дополнительные права.
Google сообщила The Hacker News, что вредоносное ПО не распространяется через Google Play Store, и пользователи Android защищены системой Google Play Protect, которая включена по умолчанию на устройствах с Google Play Services.
"Найм Java-разработчиков и создание Telegram-бота с предложением заработать также указывают на то, что инструмент активно развивается и поддерживается сетью аффилированных сотрудников," отметили исследователи.
"Анализ имён файлов, методов распространения и других действий злоумышленников позволяет предположить, что они хорошо знакомы с культурой региона, в котором оперируют."
Эти данные появились на фоне открытия компании Zimperium, обнаружившей связи между двумя семействами Android-вредоносов, отслеживаемыми как SpyNote и Gigabud (часть семейства GoldFactory, куда также входит GoldDigger).
"Домены с очень похожей структурой (с использованием одинаковых необычных ключевых слов в субдоменах) и цели для распространения образцов Gigabud также использовались для распространения образцов SpyNote," отметила компания. "Это пересечение в распространении указывает на то, что за обеими семьями вредоносного ПО, вероятно, стоит один и тот же злоумышленник, что свидетельствует о хорошо спланированной и широкой кампании."
Источник
Компания Group-IB, которая обнаружила угрозу в мае 2024 года, сообщила, что вредоносное ПО распространяется через сеть Telegram-каналов, созданных злоумышленниками под видом легитимных приложений, связанных с банковскими услугами, платежными системами, государственными сервисами или повседневными утилитами.
"Злоумышленники организовали сеть аффилированных лиц, мотивированных финансовой выгодой, распространяющих Android-банковский вирус, нацеленный на обычных пользователей", — сообщили исследователи безопасности Борис Мартынюк, Павел Наумов и Анвар Анаркулов.
Детали
Некоторые элементы распространения вредоносного ПО через Telegram, вероятно, были автоматизированы для повышения эффективности. Злоумышленники создавали множество Telegram-аккаунтов, с которых отправляли специально подготовленные сообщения. В них содержались ссылки — на другие Telegram-каналы или внешние ресурсы с APK-файлами, которые ничего не подозревающие пользователи загружали на свои устройства.Использование ссылок на Telegram-каналы, где размещены вредоносные файлы, помогает обходить меры безопасности и ограничения многих чатов. Это позволяет злоумышленникам избежать блокировки при автоматической модерации.
Они также маскируют вредоносные файлы под акции и раздачи с обещанием крупных вознаграждений и эксклюзивных услуг, что повышает вероятность заражения. Такие методы особенно эффективны в локальных чатах, так как сообщения адаптированы к интересам и потребностям местных пользователей. Это позволяет Ajina увеличить успех своих атак.
Также злоумышленники используют несколько аккаунтов для массовой рассылки сообщений одновременно, что указывает на скоординированную атаку с возможной автоматизацией.
Само вредоносное ПО работает достаточно просто: после установки оно связывается с удалённым сервером и запрашивает у пользователя разрешение на доступ к SMS, номерам телефонов и информации о сети.
Ajina.Banker собирает данные о SIM-карте, установленных финансовых приложениях и сообщения, которые затем отправляет на сервер. Новые версии этого вируса также пытаются собирать банковскую информацию через фишинговые страницы. Вирус может получить доступ к журналам вызовов, контактам и использовать службы доступности Android, чтобы предотвратить удаление и получить дополнительные права.
Google сообщила The Hacker News, что вредоносное ПО не распространяется через Google Play Store, и пользователи Android защищены системой Google Play Protect, которая включена по умолчанию на устройствах с Google Play Services.
"Найм Java-разработчиков и создание Telegram-бота с предложением заработать также указывают на то, что инструмент активно развивается и поддерживается сетью аффилированных сотрудников," отметили исследователи.
"Анализ имён файлов, методов распространения и других действий злоумышленников позволяет предположить, что они хорошо знакомы с культурой региона, в котором оперируют."
Эти данные появились на фоне открытия компании Zimperium, обнаружившей связи между двумя семействами Android-вредоносов, отслеживаемыми как SpyNote и Gigabud (часть семейства GoldFactory, куда также входит GoldDigger).
"Домены с очень похожей структурой (с использованием одинаковых необычных ключевых слов в субдоменах) и цели для распространения образцов Gigabud также использовались для распространения образцов SpyNote," отметила компания. "Это пересечение в распространении указывает на то, что за обеими семьями вредоносного ПО, вероятно, стоит один и тот же злоумышленник, что свидетельствует о хорошо спланированной и широкой кампании."
Источник
