Les clients des banques de la région d’Asie centrale ont été ciblés par une nouvelle souche de malware Android portant le nom de code Ajina.Banquier depuis au moins novembre 2024 dans le but de récolter des informations financières et d’intercepter les messages d’authentification à deux facteurs (2FA).
Le groupe IB, basé à Singapour, qui a découvert la menace en mai 2024, a déclaré que le logiciel malveillant se propage via un réseau de canaux Telegram mis en place par les acteurs de la menace sous le couvert d’applications légitimes liées aux services bancaires, aux systèmes de paiement et aux services gouvernementaux, ou aux services publics quotidiens.
« L’attaquant dispose d’un réseau d’affiliés motivés par le gain financier, diffusant des programmes malveillants bancaires Android qui ciblent les utilisateurs ordinaires », ont déclaré les chercheurs en sécurité Boris Martynyuk, Pavel Naumov et Anvar Anarkulov. dit.
Les cibles de la campagne en cours incluent des pays comme l’Arménie, l’Azerbaïdjan, l’Islande, le Kazakhstan, le Kirghizistan, le Pakistan, la Russie, le Tadjikistan, l’Ukraine et l’Ouzbékistan.
Il existe des preuves suggérant que certains aspects du processus de distribution de programmes malveillants sur Telegram pourraient avoir été automatisés pour une meilleure efficacité. Les nombreux comptes Telegram sont conçus pour diffuser des messages élaborés contenant des liens (vers d’autres canaux Telegram ou des sources externes) et des fichiers APK à des cibles non averties.
L’utilisation de liens pointant vers des chaînes Telegram qui hébergent les fichiers malveillants présente un avantage supplémentaire : elle contourne les mesures de sécurité et les restrictions imposées par de nombreuses discussions communautaires, permettant ainsi aux comptes d’échapper aux interdictions lorsque la modération automatique est déclenchée.
En plus d’abuser de la confiance que les utilisateurs accordent aux services légitimes pour maximiser les taux d’infection, le modus operandi consiste également à partager les fichiers malveillants dans les chats Telegram locaux en les faisant passer pour des cadeaux et des promotions prétendant offrir des récompenses lucratives et un accès exclusif aux services.
« L’utilisation de messages thématiques et de stratégies de promotion localisées s’est avérée particulièrement efficace dans les discussions communautaires régionales », ont déclaré les chercheurs. « En adaptant leur approche aux intérêts et aux besoins de la population locale, Ajina a pu augmenter considérablement la probabilité d’infections réussies. »
Les acteurs de la menace ont également été observés en train de bombarder les chaînes Telegram avec plusieurs messages utilisant plusieurs comptes, parfois simultanément, indiquant un effort coordonné qui utilise probablement une sorte d’outil de distribution automatisé.
Le malware en lui-même est assez simple dans la mesure où, une fois installé, il établit un contact avec un serveur distant et demande à la victime de lui accorder la permission d’accéder aux messages SMS, aux API de numéros de téléphone et aux informations actuelles du réseau cellulaire, entre autres.
Ajina.Banker est capable de collecter des informations sur la carte SIM, une liste des applications financières installées et des messages SMS, qui sont ensuite exfiltrés vers le serveur.
Les nouvelles versions du malware sont également conçues pour diffuser des pages de phishing dans le but de collecter des informations bancaires. De plus, elles peuvent accéder aux journaux d’appels et aux contacts, ainsi qu’abuser de l’API des services d’accessibilité d’Android pour empêcher la désinstallation et s’octroyer des autorisations supplémentaires.
« L’embauche de codeurs Java, qui ont créé le bot Telegram avec la proposition de gagner de l’argent, indique également que l’outil est en cours de développement actif et bénéficie du soutien d’un réseau d’employés affiliés », ont déclaré les chercheurs.
« L’analyse des noms de fichiers, des méthodes de distribution d’échantillons et d’autres activités des attaquants suggère une familiarité culturelle avec la région dans laquelle ils opèrent. »
Cette révélation intervient alors que Zimperium a découvert des liens entre deux familles de malwares Android identifiées comme SpyNote et Gigabud (qui fait partie de la famille GoldFactory qui comprend également GoldDigger).
« Des domaines avec une structure très similaire (utilisant les mêmes mots-clés inhabituels comme sous-domaines) et des cibles utilisées pour diffuser des échantillons Gigabud et ont également été utilisés pour distribuer des échantillons SpyNote », a déclaré la société dit« Ce chevauchement dans la distribution montre que le même acteur de la menace est probablement derrière les deux familles de logiciels malveillants, ce qui indique une campagne bien coordonnée et de grande envergure. »