Orta Asya bölgesindeki banka müşterileri, kod adı “Android” olan yeni bir kötü amaçlı yazılım türünün hedefi haline geldi. Ajina.Banker en az Kasım 2024’ten bu yana finansal bilgileri toplamak ve iki faktörlü kimlik doğrulama (2FA) mesajlarını engellemek amacıyla kullanılıyor.
Tehdidi Mayıs 2024’te keşfeden Singapur merkezli Group-IB, kötü amaçlı yazılımın, tehdit aktörleri tarafından bankacılık, ödeme sistemleri ve kamu hizmetleri veya günlük hizmetlerle ilgili meşru uygulamalar kisvesi altında kurulan bir Telegram kanalları ağı aracılığıyla yayıldığını söyledi.
Güvenlik araştırmacıları Boris Martynyuk, Pavel Naumov ve Anvar Anarkulov, “Saldırganın, finansal kazanç elde etmek için çalışan bir iştirak ağı var ve sıradan kullanıcıları hedef alan Android bankacı kötü amaçlı yazılımını yayıyor” dedi. söz konusu.
Devam eden kampanyanın hedefleri arasında Ermenistan, Azerbaycan, İzlanda, Kazakistan, Kırgızistan, Pakistan, Rusya, Tacikistan, Ukrayna ve Özbekistan gibi ülkeler yer alıyor.
Telegram tabanlı kötü amaçlı yazılım dağıtım sürecinin bazı yönlerinin daha iyi verimlilik için otomatikleştirilmiş olabileceğini öne süren kanıtlar var. Çok sayıda Telegram hesabı, diğer Telegram kanallarına veya harici kaynaklara bağlantılar içeren hazırlanmış mesajları ve APK dosyalarını habersiz hedeflere sunmak için tasarlanmıştır.
Kötü amaçlı dosyaları barındıran Telegram kanallarına yönlendiren bağlantıların kullanılması, birçok topluluk sohbetinin uyguladığı güvenlik önlemlerini ve kısıtlamaları aşması bakımından ek bir fayda sağlıyor ve böylece otomatik denetim tetiklendiğinde hesapların yasaklardan kaçınmasına olanak tanıyor.
Enfeksiyon oranlarını en üst düzeye çıkarmak için kullanıcıların meşru hizmetlere olan güvenini kötüye kullanmanın yanı sıra, işleyiş biçimi ayrıca kötü amaçlı dosyaları yerel Telegram sohbetlerinde, kazançlı ödüller ve hizmetlere özel erişim teklif etme iddiasıyla hediyeler ve promosyonlar gibi göstererek paylaşmayı da içeriyor.
Araştırmacılar, “Temalı mesajların ve yerelleştirilmiş tanıtım stratejilerinin kullanımı, bölgesel topluluk sohbetlerinde özellikle etkili olduğunu kanıtladı” dedi. “Yaklaşımlarını yerel nüfusun ilgi ve ihtiyaçlarına göre uyarlayarak, Ajina başarılı enfeksiyon olasılığını önemli ölçüde artırabildi.”
Tehdit aktörlerinin ayrıca birden fazla hesabı kullanarak Telegram kanallarını çeşitli mesajlarla bombaladıkları, hatta bazen aynı anda saldırı düzenledikleri gözlemlendi; bu da muhtemelen bir tür otomatik dağıtım aracı kullanan koordineli bir çabanın göstergesi.
Kötü amaçlı yazılımın kendisi oldukça basit; yüklendikten sonra uzak bir sunucuyla bağlantı kuruyor ve kurbandan SMS mesajlarına, telefon numarası API’lerine ve mevcut hücresel ağ bilgilerine erişim izni vermesini istiyor.
Ajina.Banker, SIM kart bilgilerini, yüklü finansal uygulamaların listesini ve SMS mesajlarını toplayıp bunları sunucuya sızdırabiliyor.
Kötü amaçlı yazılımın yeni sürümleri ayrıca bankacılık bilgilerini toplamak amacıyla kimlik avı sayfaları sunmak üzere tasarlanmıştır. Dahası, arama kayıtlarına ve kişilere erişebilir ve Android’in erişilebilirlik hizmetleri API’sini kötüye kullanarak kaldırmayı önleyebilir ve kendilerine ek izinler verebilirler.
Araştırmacılar, “Java kodlayıcılarının işe alınması, Telegram botunun para kazanma teklifiyle oluşturulması, aracın aktif olarak geliştirilme sürecinde olduğunu ve bağlı çalışanlardan oluşan bir ağın desteğine sahip olduğunu da gösteriyor” dedi.
“Dosya adlarının, örnek dağıtım yöntemlerinin ve saldırganların diğer faaliyetlerinin analizi, faaliyet gösterdikleri bölgeye karşı kültürel bir aşinalığa işaret ediyor.”
Bu açıklama, Zimperium’un SpyNote ve Gigabud (GoldDigger’ı da içeren GoldFactory ailesinin bir parçası) olarak bilinen iki Android kötü amaçlı yazılım ailesi arasındaki bağlantıları ortaya çıkarmasının ardından geldi.
Şirket, “Gigabud örneklerini yaymak için kullanılan ve aynı sıra dışı anahtar kelimeleri alt alan adları olarak kullanan ve aynı zamanda SpyNote örneklerini dağıtmak için kullanılan gerçekten benzer yapıya sahip alan adları ve hedefler” ifadelerini kullandı. söz konusu“Dağıtımdaki bu örtüşme, her iki kötü amaçlı yazılım ailesinin arkasında muhtemelen aynı tehdit aktörünün olduğunu gösteriyor ve bu da iyi koordine edilmiş ve geniş kapsamlı bir kampanyaya işaret ediyor.”