至少自 2024 年 11 月以来,中亚地区的银行客户已成为代号为 Ajina.Banker 的新型 Android 恶意软件的目标,其目标是收集财务信息和拦截双因素身份验证 (2FA) 消息。
总部位于新加坡的 Group-IB 于 2024 年 5 月发现了该威胁,该公司表示,该恶意软件是通过威胁行为者建立的 Telegram 频道网络传播的,该网络伪装成与银行、支付系统和政府服务或日常公用事业相关的合法应用程序。
“攻击者有一个受经济利益驱使的附属网络,传播针对普通用户的 Android 银行家恶意软件,”安全研究人员 Boris Martynyuk、Pavel Naumov 和 Anvar Anarkulov 说。
正在进行的活动的目标包括亚美尼亚、阿塞拜疆、冰岛、哈萨克斯坦、吉尔吉斯斯坦、巴基斯坦、俄罗斯、塔吉克斯坦、乌克兰和乌兹别克斯坦等国家。
有证据表明,基于 Telegram 的恶意软件分发过程的某些方面可能已经自动化以提高效率。众多的 Telegram 帐户旨在向不知情的目标提供包含链接(指向其他 Telegram 频道或外部来源)和 APK 文件的精心制作的消息。
使用指向托管恶意文件的 Telegram 频道的链接还有一个额外的好处,因为它绕过了许多社区聊天施加的安全措施和限制,从而允许帐户在触发自动审核时逃避禁令。
除了滥用用户对合法服务的信任以最大限度地提高感染率外,作案手法还涉及在本地 Telegram 聊天中共享恶意文件,将它们冒充为声称提供丰厚奖励和独家服务访问权限的赠品和促销活动。
“事实证明,使用主题消息和本地化推广策略在区域社区聊天中特别有效,”研究人员说。“通过根据当地居民的兴趣和需求定制他们的方法,Ajina 能够显著提高成功感染的可能性。”
还观察到威胁行为者使用多个帐户用多条消息轰炸 Telegram 频道,有时是同时进行的,这表明可能采用了某种自动分发工具的协调努力。
该恶意软件本身相当简单,因为一旦安装,它就会与远程服务器建立联系,并请求受害者授予其访问 SMS 消息、电话号码 API 和当前蜂窝网络信息等的权限。
Ajina.Banker 能够收集 SIM 卡信息、已安装的金融应用程序列表和 SMS 消息,然后将这些信息泄露到服务器。
新版本的恶意软件还被设计为提供网络钓鱼页面,以试图收集银行信息。此外,他们可以访问通话记录和联系人,以及滥用 Android 的辅助功能服务 API 来阻止卸载并授予自己额外的权限。
研究人员说:“雇用 Java 编码员,以赚取一些钱的提议创建了 Telegram 机器人,这也表明该工具正在积极开发过程中,并得到了附属员工网络的支持。
“对攻击者的文件名、样本分发方法和其他活动的分析表明,他们对他们活动的地区的文化熟悉。”
披露之际,Zimperium 发现了两个被跟踪为 SpyNote 和 Gigabud(属于 GoldFactory 家族的一部分,还包括 GoldDigger)之间的联系。
“具有真正相似结构的域(使用与子域相同的不寻常关键字)和目标用于传播 Gigabud 样本,也用于分发 SpyNote 样本,”该公司表示。“这种分布重叠表明,两个恶意软件系列的背后很可能是同一个威胁行为者,这表明这是一个协调良好且广泛的活动。”
发表评论
您还未登录,请先登录。
登录