Un nuovo malware Android chiamato Ajina.Banker sta minacciando i clienti bancari nella regione dell'Asia centrale, rubando dati finanziari e bypassando l'autenticazione a due fattori (2FA) tramite Telegram. Scoperto a maggio 2024 da Group-IB, il malware si è diffuso attraverso canali Telegram che simulano applicazioni legittime legate a servizi bancari, sistemi di pagamento, servizi governativi e utility quotidiane.

I ricercatori di sicurezza

I ricercatori di sicurezza hanno rilevato che il malware Ajina.Banker viene promosso attraverso una rete di affiliati motivati dal guadagno finanziario, che mirano a utenti comuni. Le nazioni colpite includono Armenia, Azerbaigian, Islanda, Kazakistan, Kirghizistan, Pakistan, Russia, Tagikistan, Ucraina e Uzbekistan. L'uso di canali Telegram permette ai malintenzionati di aggirare le misure di sicurezza e le restrizioni imposte dai chat comunitari, evitando così i ban automatici.

Modalità operativa

La modalità operativa di Ajina.Banker sfrutta la fiducia degli utenti nei servizi legittimi per massimizzare i tassi di infezione. I file malevoli vengono spesso presentati come offerte e promozioni che promettono ricompense lucrative e accesso esclusivo a servizi. La personalizzazione dei messaggi e delle strategie promozionali locali ha dimostrato di essere particolarmente efficace nei chat comunitari regionali, aumentando significativamente le probabilità di infezioni riuscite.

Il malware, una volta installato, stabilisce un contatto con un server remoto e richiede al vittima di concedere permessi per accedere ai messaggi SMS, alle API del numero di telefono e alle informazioni della rete cellulare corrente. Ajina.Banker è in grado di raccogliere informazioni sulla scheda SIM, un elenco delle app finanziarie installate e i messaggi SMS, che vengono poi esfiltrati al server.

Le versioni più recenti del malware sono progettate per servire pagine di phishing nel tentativo di raccogliere informazioni bancarie. Esse possono anche accedere ai registri delle chiamate e ai contatti, oltre a sfruttare le API dei servizi di accessibilità di Android per prevenire la disinstallazione e ottenere permessi aggiuntivi.

Dichiarazione di Google

Google ha dichiarato che non esistono prove che il malware sia stato distribuito tramite il Google Play Store e che gli utenti Android sono protetti dalla minaccia grazie a Google Play Protect, attivo di default sui dispositivi Android con Google Play Services.

L'assunzione di programmatori Java e la creazione di bot Telegram con la proposta di guadagni, indica che lo strumento è ancora in fase di sviluppo attivo e supportato da una rete di collaboratori affiliati. L'analisi dei nomi dei file, dei metodi di distribuzione dei campioni e di altre attività suggerisce una conoscenza culturale della regione in cui operano i malintenzionati.

La rivelazione arriva mentre Zimperium ha scoperto collegamenti tra due famiglie di malware Android tracciate come SpyNote e Gigabud, evidenziando una probabile campagna coordinata e ampia da parte dello stesso attore di minaccia.