Os clientes de bancos na região da Ásia Central foram identificados por um novo tipo de malware Android de codinome Ajina.banqueiro a partir de pelo menos novembro de 2024 para fins de coleta de informações financeiras e recebimento de mensagens de autenticação de dois fatores (2FA).
O Group-IB, com sede em Singapura, que recebeu a ameaça em maio de 2024, disse que o malware está a ser distribuído através de uma rede de canais Telegram estabelecida por agentes da ameaça sob o disfarce de aplicações legítimas relacionadas com bancos, sistemas de pagamento e serviços governamentais, ou serviços diários.
“O invasor tem uma rede de afiliados motivada por ganhos financeiros, que distribui o malware do Android Banker visando usuários comuns”, disseram os pesquisadores de segurança Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Os alvos da campanha em curso incluem países como a Arménia, o Azerbaijão, a Islândia, o Cazaquistão, o Quirguizistão, o Paquistão, a Rússia, o Tajiquistão, a Ucrânia e o Uzbequistão.
Há evidências que sugerem que alguns aspectos do processo de distribuição de malware baseado no Telegram podem ter sido automatizados para melhorar a eficiência. Muitas contas do Telegram são projetadas para entregar mensagens elaboradas contendo links – seja para outros canais do Telegram ou fontes externas – e arquivos APK para alvos involuntários.
A utilização de links que apontam para canais do Telegram que hospedam arquivos maliciosos tem uma vantagem adicional porque contorna as medidas de segurança e restrições impostas por muitos fóruns públicos, permitindo assim que as contas evitem o banimento quando a moderação automática é calculada.
Além de abusar da confiança que os utilizadores depositam em serviços legítimos para aumentar as taxas de infecção, o modus operandi inclui a partilha de ficheiros maliciosos em chats locais do Telegram, fazendo-os passar por presentes e promoções que pretendem oferecer recompensas lucrativas e acesso exclusivo aos serviços.
“O uso de mensagens temáticas e estratégias de publicidade local provaram ser eficazes nas discussões comunitárias regionais”, disseram os pesquisadores. “Ao adaptar a sua abordagem aos interesses e necessidades da população local, a Ajina conseguiu aumentar significativamente as probabilidades de uma infecção bem sucedida”.
Os atores da ameaça também foram vistos atacando canais do Telegram com diversas mensagens usando diversas contas, às vezes ao mesmo tempo, indicando um esforço conjunto que pode estar usando algum tipo de ferramenta de distribuição automatizada.
O malware em si é específico porque, uma vez instalado, inicia uma conexão com um servidor remoto e pede à vítima permissão para acessar mensagens SMS, APIs de números de telefone e informações atuais da rede móvel, entre outras coisas.
Ajina.Banker é capaz de coletar informações do cartão SIM, uma lista de aplicativos financeiros instalados e mensagens SMS e, em seguida, baixá-los para o servidor.
Versões mais recentes do malware também foram projetadas para exibir páginas de phishing na tentativa de coletar informações bancárias. Além disso, eles podem acessar o registro de chamadas e os contatos, bem como abusar da API de serviços de acesso do Android para bloquear a liberação e conceder-lhes permissões adicionais.
“A utilização do código Java, que cria um bot do Telegram com proposta de recebimento de dinheiro, também mostra que essa ferramenta ainda está em desenvolvimento e é apoiada por uma rede de colaboradores”, afirmam os pesquisadores.
“A análise de nomes de arquivos, métodos de distribuição de amostras e outras atividades dos invasores sugere familiaridade cultural com a região em que operam.”
A divulgação ocorre no momento em que o Zimperium revela links entre duas famílias de malware Android que ele rastreia como SpyNote e Gigabud (parte da família GoldFactory que inclui o GoldDigger).
“Domínios com exatamente a mesma estrutura (usando palavras-chave incomuns como subdomínios) e termos usados para distribuir amostras do Gigabud foram usados para distribuir amostras do SpyNote”, disse a empresa. “Esta sobreposição na distribuição indica que o mesmo agente da ameaça pode estar por trás de ambas as famílias de malware, apontando para uma campanha bem coordenada e generalizada.”
