Trojan Ajina.Banker adlı yeni bir Android kötü amaçlı yazılımı Orta Asya’yı hedefliyor – Bu kötü amaçlı yazılımın bankacılık bilgilerini çalmak ve 2FA mesajlarını engellemek için meşru uygulamalar gibi nasıl gizlendiğini keşfedin. Saldırganların kullandığı taktikleri ve kendinizi bu büyüyen tehditten nasıl koruyacağınızı öğrenin.
Orta Asya, “Ajina.Banker” olarak adlandırılan Android kötü amaçlı yazılımını dağıtan kötü amaçlı yeni bir kampanyanın hedefi haline geldi. Group-IB tarafından Mayıs 2024’te keşfedilen Ajina.Banker, Kasım 2023’ten bu yana büyük bir yıkıma yol açıyor ve araştırmacılar tarafından kötü amaçlı yazılımın yaklaşık 1.400 benzersiz çeşidi belirlendi.
Kötü amaçlı yazılım, aldatma, şekil değiştirme ve kaosla bilinen kötü niyetli bir Özbek mitolojik ruhundan adını almıştır. Ajina.Banker, bankacılık hizmetleri, hükümet portalları ve günlük hizmetler gibi güvenilir uygulamalar gibi görünerek şüphelenmeyen kullanıcıları hedef alır ve “enfeksiyon oranlarını en üst düzeye çıkarmak ve insanları kötü amaçlı dosyayı indirip çalıştırmaya teşvik ederek cihazlarını tehlikeye atar.”
Kötü amaçlı yazılım, öncelikle Telegram gibi mesajlaşma platformlarında sosyal mühendislik taktiğiyle yayılıyor. Saldırganlar, cazip teklifler, promosyonlar veya hatta yerel vergi dairesi uygulamaları kisvesi altında kötü amaçlı bağlantılar ve dosyalar dağıtmak için çok sayıda hesap oluşturuyor. “Kazançlı ödüller” veya “özel erişim” vaadiyle cezbedilen kullanıcılar, farkında olmadan kötü amaçlı yazılımı indirip yükleyerek cihazlarını tehlikeye atıyor.
Saldırganlar ayrıca çok yönlü bir yaklaşım kullanarak, yalnızca kötü amaçlı dosyanın eklendiği mesajları göndererek, kullanıcı merakını istismar ediyor. Ayrıca, kötü amaçlı yazılımı barındıran kanallara bağlantılar paylaşarak, bazı topluluk sohbetlerinde uygulanan güvenlik önlemlerini atlatıyorlar.
Ajina, bölgesel topluluk sohbetlerinde aciliyet ve heyecan duygusu yaratmak için temalı mesajlar ve yerelleştirilmiş tanıtım stratejileri kullandı ve kullanıcıları kötü niyetli bir niyetten şüphelenmeden bağlantılara tıklamaya veya dosya indirmeye teşvik etti. Bu kampanyalar, bazen aynı anda olmak üzere birden fazla hesapta yürütüldü ve koordineli bir çaba olduğunu gösterdi.
Ajina.Banker’ın öncelikli hedefi Özbekistan’daki kullanıcılar olsa da, etki alanı sınırların ötesine uzanıyor. Kötü amaçlı yazılım, Ermenistan, Azerbaycan, İzlanda ve Rusya dahil olmak üzere çeşitli ülkelerden yüklenen finansal uygulamalar hakkında bilgi topluyor. Ayrıca, SIM kart ayrıntılarını topluyor ve gelen SMS mesajlarını engelliyor, potansiyel olarak finansal hesaplar için 2FA kodlarını ele geçiriyor.
Kötü amaçlı yazılım endişe verici düzeyde uyarlanabilirlik sergiliyor. Analiz, com.example.smshandler ve org.zzzz.aaa olmak üzere iki farklı sürümü ortaya koyuyor ve bu da devam eden geliştirmeyi gösteriyor. Daha yeni sürümler, kullanıcı tarafından sağlanan telefon numaralarını, banka kartı bilgilerini ve PIN kodlarını çalma yeteneği de dahil olmak üzere ek işlevler sergiliyor.
Group-IB’nin araştırması, Ajina.Banker’ın bir iştirak programı modeliyle çalıştığını öne sürüyor. Bir çekirdek grup altyapıyı yönetirken, iştiraklerden oluşan bir ağ dağıtım ve enfeksiyon zincirlerini ele alıyor ve muhtemelen çalınan fonların bir payıyla teşvik ediliyor.
Kendinizi ve cihazlarınızı Ajina.Banker ve benzeri tehditlerden korumak için istenmeyen mesajlara ve indirmelere karşı dikkatli olun, Google Play Store gibi güvenilir uygulama mağazalarına bağlı kalın, uygulama izinlerini inceleyin, güvenlik yazılımları yükleyin ve en son kötü amaçlı yazılım tehditleri ve mobil güvenlik için en iyi uygulamalar konusunda güncel kalın.
Mobil cihaz güvenlik şirketi iVerify’ın kurucu ortağı ve COO’su Rocky Cole, bu kurnazca yeni kampanya hakkındaki yorumlarını Hackread.com ile paylaştı:
“Kimlik bilgisi hırsızlığı, tehdit aktörleri tarafından gerçekleştirilen bir numaralı eylemdir. Daha küçük ekranlar, daha düşük dikkat süreleri, eğitim eksikliği ve kişisel ve profesyonel kullanım durumlarının karıştırılmasının insanları riske attığı telefonlarda kimlik bilgilerini çalmak çok kolaydır. Bu yeni Android kötü amaçlı yazılımı, bu eğilimin sadece bir devamı ve telefonların kötü amaçlı APK’leri ve sosyal mühendislik girişimlerini tespit etmek için EDR platformları çalıştırması gerektiğinin başlıca bir örneğidir.”
İLGİLİ KONULAR
- Bilgisayar korsanları bankacılık kötü amaçlı yazılımlarını yaymak için Google Sites’ı kullanıyor
- Google, Android, iOS ve Chrome’a yönelik casus yazılım saldırısını açıkladı
- iOS ve Android Kullanıcılarına Yönelik Scylla Reklam Dolandırıcılığı Apple ve Google Tarafından Durduruldu
- V3B Kimlik Avı Kiti AB Bankacılık Kullanıcılarının Giriş Bilgilerini ve OTP’lerini Çalıyor
- Android Bankacılık Kötü Amaçlı Yazılımı FjordPhantom Sanallaştırma Yoluyla Çalıyor