Un nuovo malware Android chiamato Trojan Ajina.Banker sta prendendo di mira l'Asia centrale, mascherandosi da app legittime per rubare informazioni bancarie e intercettare messaggi di autenticazione a due fattori. La minaccia è stata scoperta da Group-IB a maggio 2024, ma è attiva da novembre 2023.
Il malware prende il nome da uno spirito maligno della mitologia uzbeka noto per l'inganno e il caos. Ajina.Banker si diffonde principalmente attraverso tattiche di social engineering su piattaforme di messaggistica come Telegram, sfruttando account falsi per distribuire link e file malevoli camuffati da offerte allettanti o app governative.
Gli attaccanti utilizzano un approccio multi-canale, inviando messaggi con file infetti allegati o condividendo link a canali che ospitano il malware. Le campagne sfruttano messaggi a tema e strategie promozionali localizzate per creare un senso di urgenza negli utenti, spingendoli a scaricare i file senza sospettare.
Sebbene il target principale sia l'Uzbekistan, Ajina.Banker colpisce anche utenti in Armenia, Azerbaigian, Islanda e Russia. Il malware raccoglie dettagli delle SIM card e intercetta gli SMS in arrivo, potenzialmente catturando codici 2FA per gli account finanziari.
Evoluzione e affiliazione
L'analisi rivela due versioni distinte del malware, suggerendo uno sviluppo in corso. Le versioni più recenti mostrano funzionalità aggiuntive, tra cui la capacità di rubare numeri di telefono, dettagli delle carte bancarie e codici PIN forniti dall'utente.
Group-IB ipotizza che Ajina.Banker operi secondo un modello di programma di affiliazione, con un gruppo centrale che gestisce l'infrastruttura e una rete di affiliati che si occupa della distribuzione, probabilmente incentivati da una quota dei fondi rubati.
Misure di protezione
Per proteggersi da Ajina.Banker e minacce simili, è fondamentale:
- Essere cauti con messaggi e download non richiesti
- Utilizzare solo app store ufficiali come Google Play Store
- Esaminare attentamente i permessi richiesti dalle app
- Installare software di sicurezza
- Mantenersi aggiornati sulle ultime minacce malware
Rocky Cole, co-fondatore e COO di iVerify, azienda di sicurezza per dispositivi mobili, ha commentato:
"Il furto di credenziali è l'azione numero uno intrapresa dagli attori delle minacce. È così facile rubare credenziali su telefoni dove schermi più piccoli, minore attenzione, mancanza di formazione e la commistione di uso personale e professionale mettono le persone a rischio. Questo nuovo malware Android è solo una continuazione di quella tendenza e un esempio lampante del perché i telefoni dovrebbero eseguire piattaforme EDR per rilevare APK malevoli e tentativi di social engineering."
