Android zararlı yazılımlarındaki son gelişmeler, kötü amaçlı uygulamaların giderek daha fazla bankacılık oturum açma bilgilerini çalma ve iki faktörlü kimlik doğrulama (2FA) mesajlarını engelleme yeteneğine sahip olduğu endişe verici bir eğilimi ortaya koydu.
Karmaşık saldırılardaki bu önemli artış, kullanıcıların finansal güvenliği açısından büyük riskler oluşturuyor.
Son zamanlarda, Group-IB’deki siber güvenlik analistleri, “Ajina” adı verilen yeni bir Android kötü amaçlı yazılımının, kullanıcıların bankacılık bilgilerini çalmak ve 2FA mesajlarını engellemek için aktif olarak saldırdığını tespit etti.
Android Kötü Amaçlı Yazılım Ajina Kullanıcılara Saldırıyor
Group-IB’nin araştırması, başta Özbekistan olmak üzere Orta Asya’yı hedef alan “Ajina” Android kötü amaçlı yazılım kampanyasının 30 Kasım 2023’ten bu yana aktif olduğunu ortaya çıkardı.
Kötü amaçlı yazılım, sosyal mühendislik taktiklerini kullanarak Telegram üzerinden yayılan aşağıdaki paket adlarıyla tanımlanıyor:
- com.örnek.smshandler
- org.zzzz.aaa
SHA1 karmaları b04d7fa82e762ea9223fe258fcf036245b9e0e9c ve 5951640c2b95c6788cd6ec6ef9f66048a35d6070 dahil olmak üzere meşru uygulamaları taklit eder.
Ajina, READ_PHONE_STATE, CALL_PHONE, READ_PHONE_NUMBERS, RECEIVE_SMS ve READ_SMS gibi kritik izinleri ister.
SIM verilerini (MCC, MNC, SPN), yüklü finansal uygulamaları ve SMS içeriğini toplar ve ham TCP üzerinden AES/GCM/NoPadding şifrelemesini kullanarak C2 sunucularına iletir.
Kötü amaçlı yazılım,
Decoding Compliance: What CISOs Need to Know – Join Free Webinar
Daha sonraki sürümler (org.zzzz.aaa) erişilebilirlik hizmetinin kötüye kullanımını, ek izinleri (READ_CALL_LOG, GET_ACCOUNTS, READ_CONTACTS) ve kimlik avı yeteneklerini tanıttı.
Kampanyada, “WIN-PDDC81NCU8C” sertifika sağlayıcısı ile tanımlanan birden fazla Telegram hesabı ve C2 sunucusu kullanılıyor.
Bunun yanı sıra, atıf, Java kodlayıcı işe alımı ve bir Telegram botu (@glavnyypouzbekambot) ile kanıtlandığı üzere, devam eden geliştirme ile bir ortaklık programı yapısını öneriyor.
Kötü amaçlı yazılımın, gömülü ülke kodları ve uygulama paketi kontrollerinden anlaşıldığı üzere Özbekistan, Ermenistan, Azerbaycan, Kazakistan, Kırgızistan ve Pakistan’daki kullanıcıları hedef aldığı belirtiliyor.
Ajina vakası kötü amaçlı yazılım geliştirme ve dağıtımının hızlı evrimini göstermektedir. Bu bankacılık trojan’ı “Ajina” olarak bilinir. Banker hızla ortaya çıktı ve etkili dağıtım kanalları kurdu.
Bu yaklaşım özellikle güvenlik sistemleri tarafından erken tespit edilmekten kaçınmada etkilidir.
Ajina’nın SMS mesajlarını engelleme, oturum açma bilgilerini çalma ve ekrandaki içeriği değiştirme yeteneği, mobil bankacılık güvenliği için önemli bir tehdit oluşturuyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Mobil cihazınızı her zaman güncel tutun.
- Uygulamaları yalnızca Google Play’den indirdiğinizden emin olun.
- Uygulama izinlerini her zaman kontrol edin.
- Şüpheli SMS bağlantılarına tıklamaktan kaçının.
- Enfeksiyon durumunda ağınızı devre dışı bırakın, banka hesaplarınızı dondurun ve uzmanlara danışın.
- Dolandırıcılık tekniklerini, kimlik avını ve saldırıları tespit etmeyi sağlayan dolandırıcılık koruma çözümlerini kullanın.
- Ekstra bir yazılıma ihtiyaç duymadan trojanları, uzaktan erişimi ve kişisel veri toplamayı tespit eder.
- Gelişmiş siber güvenlik için her zaman sağlam güvenlik çözümleri kullanın.
Simulating Cyberattack Scenarios With All-in-One Cybersecurity Platform – Watch Free Webinar