Nieuwe Android-malware ‘Ajina.Banker’ steelt financiële gegevens en omzeilt 2FA via Telegram

Bankklanten in de regio Centraal-Azië zijn het doelwit geworden van een nieuwe variant van Android-malware met de codenaam Ajina.Bankier sinds ten minste november 2024 met als doel het verzamelen van financiële informatie en het onderscheppen van tweefactorauthenticatieberichten (2FA).

Group-IB, met hoofdkantoor in Singapore, ontdekte de dreiging in mei 2024 en meldde dat de malware zich verspreidt via een netwerk van Telegram-kanalen dat door de cybercriminelen is opgezet onder het mom van legitieme applicaties voor bankieren, betalingssystemen, overheidsdiensten of alledaagse nutsvoorzieningen.

“De aanvaller beschikt over een netwerk van partners die gedreven worden door financieel gewin en die Android-bankmalware verspreiden die zich richt op gewone gebruikers”, aldus beveiligingsonderzoekers Boris Martynyuk, Pavel Naumov en Anvar Anarkulov.

Doelwitten van de huidige campagne zijn onder meer landen als Armenië, Azerbeidzjan, IJsland, Kazachstan, Kirgizië, Pakistan, Rusland, Tadzjikistan, Oekraïne en Oezbekistan.

Er is bewijs dat suggereert dat sommige aspecten van het op Telegram gebaseerde malwaredistributieproces mogelijk geautomatiseerd zijn voor verbeterde efficiëntie. De talrijke Telegram-accounts zijn ontworpen om gefabriceerde berichten met links te serveren — hetzij naar andere Telegram-kanalen of externe bronnen — en APK-bestanden aan onwetende doelen.

Het gebruik van links die verwijzen naar Telegram-kanalen die de schadelijke bestanden hosten, heeft als bijkomend voordeel dat de veiligheidsmaatregelen en beperkingen die door veel communitychats worden opgelegd, worden omzeild. Hierdoor kunnen accounts worden ontweken wanneer automatische moderatie wordt geactiveerd.

Naast het misbruiken van het vertrouwen dat gebruikers in legitieme diensten stellen om de infectiepercentages te maximaliseren, houdt de modus operandi ook in dat de schadelijke bestanden worden gedeeld in lokale Telegram-chats door ze te presenteren als weggeefacties en promoties die beweren lucratieve beloningen en exclusieve toegang tot diensten te bieden.

“Het gebruik van thematische berichten en gelokaliseerde promotiestrategieën bleken bijzonder effectief in regionale communitychats”, aldus de onderzoekers. “Door hun aanpak af te stemmen op de interesses en behoeften van de lokale bevolking, kon Ajina de kans op succesvolle infecties aanzienlijk vergroten.”

Er is ook waargenomen dat de dreigingsactoren Telegram-kanalen bombardeerden met meerdere berichten via meerdere accounts, soms zelfs tegelijkertijd. Dit wijst op een gecoördineerde inspanning waarbij waarschijnlijk gebruik wordt gemaakt van een geautomatiseerd distributiehulpmiddel.

De malware zelf is vrij eenvoudig in gebruik. Zodra de malware is geïnstalleerd, maakt deze contact met een externe server en vraagt ​​het slachtoffer om toestemming om toegang te krijgen tot onder andere sms-berichten, API’s van telefoonnummers en actuele informatie over het mobiele netwerk.

Ajina.Banker kan SIM-kaartgegevens, een lijst met geïnstalleerde financiële apps en sms-berichten verzamelen, die vervolgens naar de server worden verzonden.

Nieuwe versies van de malware zijn ook ontworpen om phishingpagina’s te bedienen in een poging om bankgegevens te verzamelen. Bovendien kunnen ze toegang krijgen tot oproeplogboeken en contacten, en misbruik maken van de toegankelijkheidsservices-API van Android om verwijdering te voorkomen en zichzelf extra machtigingen te verlenen.

“Het inhuren van Java-programmeurs die een Telegram-bot hebben gemaakt met het voorstel om wat geld te verdienen, geeft ook aan dat de tool nog in de actieve ontwikkelingsfase zit en wordt ondersteund door een netwerk van aangesloten werknemers”, aldus de onderzoekers.

“Analyse van de bestandsnamen, de distributiemethoden van de monsters en andere activiteiten van de aanvallers suggereert dat ze cultureel vertrouwd zijn met de regio waarin ze actief zijn.”

De onthulling volgt nadat Zimperium links ontdekte tussen twee Android-malwarefamilies, namelijk SpyNote en Gigabud (onderdeel van de GoldFactory-familie waar ook GoldDigger toe behoort).

“Domeinen met een zeer vergelijkbare structuur (met dezelfde ongebruikelijke trefwoorden als subdomeinen) en targets werden gebruikt om Gigabud-samples te verspreiden en werden ook gebruikt om SpyNote-samples te distribueren,” aldus het bedrijf. “Deze overlap in distributie laat zien dat dezelfde dreigingsactor waarschijnlijk achter beide malwarefamilies zit, wat wijst op een goed gecoördineerde en brede campagne.”

Thijs Van der Does