Οι πελάτες τραπεζών στην Κεντρική Ασία έχουν γίνει στόχος ενός νέου Android malware, με την κωδική ονομασία Ajina.Banker (τουλάχιστον από τον Νοέμβριο του 2023).
Το κακόβουλο λογισμικό στοχεύει στη συλλογή οικονομικών πληροφοριών και την υποκλοπή μηνυμάτων με κωδικούς για έλεγχο ταυτότητας δύο παραγόντων (2FA).
Η Group-IB ανακάλυψε τις επιθέσεις τον Μάιο του 2024 και παρατήρησε ότι το malware διαδίδεται μέσω ενός δικτύου καναλιών Telegram. Μιμούνται νόμιμες εφαρμογές που σχετίζονται με τραπεζικές υπηρεσίες, συστήματα πληρωμών και κρατικές υπηρεσίες (ή κάποια βοηθητικά προγράμματα).
Δείτε επίσης: TrickMo: Android Banking Malware που επιτίθεται σε χρήστες για κλοπή credentials σύνδεσης
Το Android malware Ajina.Banker στοχεύει χρήστες σε χώρες όπως η Αρμενία, το Αζερμπαϊτζάν, η Ισλανδία, το Καζακστάν, το Κιργιστάν, το Πακιστάν, η Ρωσία, το Τατζικιστάν, η Ουκρανία και το Ουζμπεκιστάν.
Υπάρχουν στοιχεία που υποδηλώνουν ότι ορισμένες πτυχές της διαδικασίας διανομής κακόβουλου λογισμικού (μέσω Telegram) μπορεί να έχουν αυτοματοποιηθεί για βελτιωμένη αποτελεσματικότητα. Οι πολυάριθμοι λογαριασμοί Telegram έχουν σχεδιαστεί για να στέλνουν μηνύματα με συνδέσμους — είτε προς άλλα κανάλια Telegram είτε προς εξωτερικές πηγές — και αρχεία APK προς τους στόχους.
Με τη χρήση συνδέσμων προς κανάλια Telegram που περιέχουν κακόβουλα αρχεία, οι επιτιθέμενοι παρακάμπτουν τα μέτρα ασφαλείας και τους περιορισμούς που επιβάλλονται από πολλά community chats.
Δείτε επίσης: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets
Οι επιτιθέμενοι εκμεταλλεύονται την εμπιστοσύνη των χρηστών σε νόμιμες υπηρεσίες και, επιπλέον, κάνουν κοινή χρήση των κακόβουλων αρχείων σε τοπικές συνομιλίες του Telegram, μεταβιβάζοντάς τα ως giveaways και promotions.
«Η χρήση θεματικών μηνυμάτων και τοπικών στρατηγικών προώθησης αποδείχθηκαν ιδιαίτερα αποτελεσματικές στις συνομιλίες της τοπικής κοινότητας», είπαν οι ερευνητές.
Android malware Ajina.Banker
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή και ζητά από το θύμα να του χορηγήσει άδεια πρόσβασης σε μηνύματα SMS, API αριθμών τηλεφώνου, τρέχουσες πληροφορίες δικτύου κινητής τηλεφωνίας και άλλα.
Το Ajina.Banker συλλέγει, επίσης, πληροφορίες κάρτας SIM, εγκατεστημένες τραπεζικές εφαρμογές και μηνύματα SMS, τα οποία στη συνέχεια μεταφέρονται στον διακομιστή.
Οι νέες εκδόσεις του κακόβουλου λογισμικού δημιουργούν και σελίδες phishing για συλλογή τραπεζικών πληροφοριών. Επιπλέον, επιτρέπουν την πρόσβαση στα αρχεία καταγραφής κλήσεων και στις επαφές, ενώ μπορούν να κάνουν και κατάχρηση υπηρεσιών προσβασιμότητας του Android, για να αποτρέψουν την απεγκατάσταση και να αποκτήσουν πρόσθετα δικαιώματα.
Το κακόβουλο λογισμικό δεν διανέμεται μέσω Google Play Store και οι χρήστες Android προστατεύονται από το Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή.
Δείτε επίσης: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα
Για την προστασία από Android malware, είναι σημαντικό οι χρήστες να ακολουθούν κάποιες βέλτιστες πρακτικές ασφαλείας, όπως:
- Λήψη εφαρμογών μόνο από αξιόπιστες πηγές όπως το Google Play Store
- Ενημέρωση συσκευής και εφαρμογών
- Μεγάλη προσοχή σε ύποπτους συνδέσμους ή συνημμένα που αποστέλλονται μέσω email ή εφαρμογών ανταλλαγής μηνυμάτων
- Χρήση ενός αξιόπιστου λογισμικού προστασίας από ιούς, που μπορεί να βοηθήσει στον εντοπισμό και την κατάργηση malware σε συσκευές Android.
Καθώς η τεχνολογία εξελίσσεται, το ίδιο συμβαίνει και με τις τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να στοχεύουν χρήστες Android. Η ενημέρωση σχετικά με πιθανές απειλές και η λήψη των απαραίτητων προφυλάξεων μπορεί να σας βοηθήσει να διατηρήσετε τις συσκευές σας ασφαλείς.
Πηγή: thehackernews.com
