Clientes bancários na região da Ásia Central têm sido alvo de uma nova cepa de malware para Android, batizado de Ajina.Banker, desde pelo menos novembro de 2023, com o objetivo de colher informações financeiras e interceptar mensagens de autenticação de dois fatores (2FA).
A Group-IB, com sede em Singapura, que descobriu a ameaça em maio de 2024, informou que o malware é propagado por meio de uma rede de canais do Telegram estabelecida pelos atores da ameaça sob o disfarce de aplicativos legítimos relacionados a bancos, sistemas de pagamento e serviços governamentais, ou utilitários do dia a dia.
“O atacante tem uma rede de afiliados motivados por ganhos financeiros, disseminando malware de Android banker que visa usuários comuns,” disseram os pesquisadores de segurança Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Os alvos da campanha em andamento incluem países como Armênia, Azerbaijão, Islândia, Cazaquistão, Quirguistão, Paquistão, Rússia, Tajiquistão, Ucrânia e Uzbequistão.
Há evidências sugerindo que alguns aspectos do processo de distribuição do malware baseado no Telegram podem ter sido automatizados para maior eficiência.
As inúmeras contas do Telegram são projetadas para servir mensagens elaboradas contendo links — seja para outros canais do Telegram ou fontes externas — e arquivos APK para alvos desavisados.
O uso de links apontando para canais do Telegram que hospedam os arquivos maliciosos tem o benefício adicional de contornar medidas de segurança e restrições impostas por muitos chats comunitários, permitindo assim que as contas evitem bans quando a moderação automática é acionada.
Além de abusar da confiança que os usuários depositam em serviços legítimos para maximizar as taxas de infecção, o modus operandi também envolve compartilhar os arquivos maliciosos em chats locais do Telegram, apresentando-os como brindes e promoções que afirmam oferecer recompensas lucrativas e acesso exclusivo a serviços.
“A utilização de mensagens temáticas e estratégias de promoção localizadas mostrou-se particularmente eficaz em chats comunitários regionais,” disseram os pesquisadores.
Ao adaptar sua abordagem aos interesses e necessidades da população local, Ajina conseguiu aumentar significativamente a probabilidade de infecções bem-sucedidas.
Os atores da ameaça também foram observados bombardeando canais do Telegram com várias mensagens usando múltiplas contas, às vezes simultaneamente, indicando um esforço coordenado que provavelmente emprega algum tipo de ferramenta de distribuição automatizada.
O próprio malware é bastante direto, uma vez instalado, estabelece contato com um servidor remoto e solicita ao vítima que lhe conceda permissão para acessar mensagens SMS, APIs de número de telefone e informações da rede celular atual, entre outras.
Ajina.Banker é capaz de coletar informações do cartão SIM, uma lista de apps financeiros instalados e mensagens SMS, que são então exfiltradas para o servidor.
Novas versões do malware também são desenvolvidas para oferecer páginas de phishing em uma tentativa de coletar informações bancárias.
Além disso, podem acessar logs de chamadas e contatos, bem como abusar da API de serviços de acessibilidade do Android para impedir a desinstalação e conceder a si mesmos permissões adicionais.
O Google informou ao The Hacker News que não encontrou evidências do malware sendo propagado via Google Play Store e que os usuários do Android estão protegidos contra a ameaça pelo Google Play Protect, que é ativado por padrão nos dispositivos Android com Google Play Services.
“A contratação de programadores Java, criando um bot do Telegram com a proposta de ganhar algum dinheiro, também indica que a ferramenta está em processo de desenvolvimento ativo e conta com suporte de uma rede de colaboradores afiliados,” disseram os pesquisadores.
A análise dos nomes de arquivos, métodos de distribuição de amostras e outras atividades dos atacantes sugere uma familiaridade cultural com a região em que operam.
A divulgação ocorre enquanto a Zimperium descobriu ligações entre duas famílias de malware para Android rastreadas como SpyNote e Gigabud (que faz parte da família GoldFactory, que também inclui GoldDigger).
“Domínios com estrutura realmente similar (usando as mesmas palavras-chave incomuns como subdomínios) e alvos usados para espalhar amostras de Gigabud também foram usados para distribuir amostras de SpyNote,” disse a empresa.
Essa sobreposição na distribuição mostra que o mesmo ator de ameaças provavelmente está por trás de ambas as famílias de malware, apontando para uma campanha bem coordenada e ampla.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...