Οι πελάτες τραπεζών στην περιοχή της Κεντρικής Ασίας έχουν γίνει στόχος ενός νέου τύπου κακόβουλου λογισμικού Android με την κωδική ονομασία Ajina.Banker τουλάχιστον από τον Νοέμβριο του 2023.
Τι είναι το Ajina.Banker
Το συγκεκριμένο λογισμικό έχει ως στόχο τη συλλογή οικονομικών πληροφοριών και την υποκλοπή μηνυμάτων ελέγχου ταυτότητας δύο παραγόντων (2FA).
Το Group-IB με έδρα τη Σιγκαπούρη, το οποίο ανακάλυψε την απειλή τον Μάιο του 2024, είπε ότι το κακόβουλο λογισμικό διαδίδεται μέσω ενός δικτύου καναλιών Telegram που έχουν δημιουργηθεί από τους φορείς απειλών υπό το πρόσχημα των νόμιμων εφαρμογών που σχετίζονται με τραπεζικές υπηρεσίες, συστήματα πληρωμών και κρατικές υπηρεσίες, ή καθημερινά βοηθητικά προγράμματα.
«Ο εισβολέας έχει ένα δίκτυο θυγατρικών με κίνητρο το οικονομικό κέρδος, που διαδίδει κακόβουλο λογισμικό Android banker το οποίο στοχεύει απλούς χρήστες», δήλωσαν οι ερευνητές ασφαλείας Boris Martynyuk, Pavel Naumov και Anvar Anarkulov.
Οι στόχοι των χάκερ
Στους στόχους της εν εξελίξει εκστρατείας περιλαμβάνονται χώρες όπως η Αρμενία, το Αζερμπαϊτζάν, η Ισλανδία, το Καζακστάν, το Κιργιστάν, το Πακιστάν, η Ρωσία, το Τατζικιστάν, η Ουκρανία και το Ουζμπεκιστάν.
Υπάρχουν στοιχεία που υποδηλώνουν ότι ορισμένες πτυχές της διαδικασίας διανομής κακόβουλου λογισμικού που βασίζεται στο Telegram μπορεί να έχουν αυτοματοποιηθεί για βελτιωμένη αποτελεσματικότητα.
Οι πολυάριθμοι λογαριασμοί Telegram έχουν σχεδιαστεί για να εξυπηρετούν επεξεργασμένα μηνύματα που περιέχουν συνδέσμους – είτε προς άλλα κανάλια Telegram είτε εξωτερικές πηγές – και αρχεία APK.
Η χρήση συνδέσμων που οδηγούν σε κανάλια Telegram που φιλοξενούν τα κακόβουλα αρχεία έχει ένα πρόσθετο πλεονέκτημα, καθώς παρακάμπτει τα μέτρα ασφαλείας και τους περιορισμούς που επιβάλλονται από πολλές συνομιλίες της κοινότητας, επιτρέποντας έτσι στους λογαριασμούς να αποφεύγουν τις απαγορεύσεις όταν ενεργοποιείται η αυτόματη εποπτεία.
Εκτός από την κατάχρηση της εμπιστοσύνης των χρηστών σε νόμιμες υπηρεσίες για τη μεγιστοποίηση των ποσοστών μόλυνσης, ο τρόπος λειτουργίας περιλαμβάνει επίσης την κοινή χρήση των κακόβουλων αρχείων σε τοπικές συνομιλίες του Telegram, μεταβιβάζοντάς τα ως δώρα και προωθήσεις που ισχυρίζονται ότι προσφέρουν προσοδοφόρες ανταμοιβές και αποκλειστική πρόσβαση σε υπηρεσίες.
«Η χρήση θεματικών μηνυμάτων και τοπικών στρατηγικών προώθησης αποδείχθηκαν ιδιαίτερα αποτελεσματικές στις συνομιλίες της τοπικής κοινότητας», είπαν οι ερευνητές.
«Προσαρμόζοντας την προσέγγισή τους στα ενδιαφέροντα και τις ανάγκες του τοπικού πληθυσμού, η Ajina μπόρεσε να αυξήσει σημαντικά την πιθανότητα επιτυχών μολύνσεων».
Οι παράγοντες της απειλής έχουν επίσης παρατηρηθεί να βομβαρδίζουν κανάλια Telegram με πολλά μηνύματα χρησιμοποιώντας πολλούς λογαριασμούς, κατά καιρούς ταυτόχρονα, και υποδεικνύοντας έτσι μια συντονισμένη προσπάθεια που πιθανότατα χρησιμοποιεί κάποιου είδους αυτοματοποιημένο εργαλείο διανομής.
Λειτουργία και δράση του κακόβουλου λογισμικού Android
Το κακόβουλο λογισμικό από μόνο του είναι αρκετά απλό καθώς, μόλις εγκατασταθεί, δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή και ζητά από το θύμα να του χορηγήσει άδεια πρόσβασης σε μηνύματα SMS, API αριθμών τηλεφώνου και τρέχουσες πληροφορίες δικτύου κινητής τηλεφωνίας, μεταξύ άλλων.
Το Ajina.Banker είναι σε θέση να συλλέγει πληροφορίες κάρτας SIM, μια λίστα εγκατεστημένων οικονομικών εφαρμογών και μηνύματα SMS, τα οποία στη συνέχεια μεταφέρονται στον διακομιστή.
Οι νέες εκδόσεις του κακόβουλου λογισμικού έχουν επίσης σχεδιαστεί για να εξυπηρετούν σελίδες phishing σε μια προσπάθεια συλλογής τραπεζικών πληροφοριών.
Επιπλέον, μπορούν να έχουν πρόσβαση στα αρχεία καταγραφής κλήσεων και στις επαφές, καθώς και να κάνουν κατάχρηση του API υπηρεσιών προσβασιμότητας του Android για να αποτρέψουν την απεγκατάσταση και να παραχωρήσουν στον εαυτό τους πρόσθετα δικαιώματα.
Η ανακοίνωση της Google
Η Google είπε στο The Hacker News ότι δεν βρήκε κανένα στοιχείο για τη διάδοση του κακόβουλου λογισμικού μέσω του Google Play Store και ότι οι χρήστες Android προστατεύονται από την απειλή από το Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή σε συσκευές Android με Υπηρεσίες Google Play.
«Η πρόσληψη κωδικοποιητών Java, που δημιούργησε το Telegram bot με την πρόταση να κερδίσει κάποια χρήματα, δείχνει επίσης ότι το εργαλείο βρίσκεται σε διαδικασία ανάπτυξης και υποστηρίζεται από ένα δίκτυο συνδεδεμένων υπαλλήλων», ανέφεραν οι ερευνητές.
«Η ανάλυση των ονομάτων αρχείων, των μεθόδων διανομής δειγμάτων και άλλων δραστηριοτήτων των επιτιθέμενων υποδηλώνει μια πολιτισμική εξοικείωση με την περιοχή στην οποία δραστηριοποιούνται».
Η αποκάλυψη έρχεται καθώς η Zimperium έχει εντοπίσει συνδέσεις μεταξύ δύο οικογενειών κακόβουλου λογισμικού Android, του SpyNote και του Gigabud, που ανήκει στην οικογένεια GoldFactory (στην οποία ανήκει και το GoldDigger).”
