Orta Asya bölgesindeki banka müşterileri, kod adı “Android” olan yeni bir kötü amaçlı yazılım türünün hedefi haline geldi. Benim sınıfım. en az Kasım 2024’ten bu yana finansal bilgileri toplamak ve iki faktörlü kimlik doğrulama (2FA) mesajlarını engellemek amacıyla kullanılıyor.
Tehdidi Mayıs 2024’te keşfeden Singapur merkezli Group-IB, kötü amaçlı yazılımın, tehdit aktörleri tarafından bankacılık, ödeme sistemleri ve kamu hizmetleri veya günlük hizmetlerle ilgili meşru uygulamalar kisvesi altında kurulan bir Telegram kanalları ağı aracılığıyla yayıldığını söyledi.
Güvenlik araştırmacıları Boris Martynyuk, Pavel Naumov ve Anvar Anarkulov, “Saldırganın, finansal kazanç elde etme amacıyla iştirakçilerden oluşan bir ağı var ve sıradan kullanıcıları hedef alan Android banker zararlı yazılımını yayıyor” dedi.
Devam eden kampanyanın hedefleri arasında Ermenistan, Azerbaycan, İzlanda, Kazakistan, Kırgızistan, Pakistan, Rusya, Tacikistan, Ukrayna ve Özbekistan gibi ülkeler yer alıyor.
Telegram tabanlı kötü amaçlı yazılım dağıtım sürecinin bazı yönlerinin daha iyi verimlilik için otomatikleştirilmiş olabileceğini öne süren kanıtlar var. Çok sayıda Telegram hesabı, diğer Telegram kanallarına veya harici kaynaklara bağlantılar içeren hazırlanmış mesajları ve APK dosyalarını habersiz hedeflere sunmak üzere tasarlanmıştır.
Kötü amaçlı dosyaları barındıran Telegram kanallarına yönlendiren bağlantıların kullanılması, birçok topluluk sohbetinin uyguladığı güvenlik önlemlerini ve kısıtlamaları aşması bakımından ek bir fayda sağlıyor ve böylece otomatik denetim tetiklendiğinde hesapların yasaklardan kaçınmasına olanak tanıyor.
Enfeksiyon oranlarını en üst düzeye çıkarmak için kullanıcıların meşru hizmetlere olan güvenini kötüye kullanmanın yanı sıra, kötü amaçlı dosyaları yerel Telegram sohbetlerinde, kazançlı ödüller ve hizmetlere özel erişim teklif etme iddiasıyla hediyeler ve promosyonlar gibi göstererek paylaşmayı da içeriyor.
Araştırmacılar, “Temalı mesajların ve yerelleştirilmiş tanıtım stratejilerinin kullanımı, bölgesel topluluk sohbetlerinde özellikle etkili olduğunu kanıtladı” dedi. “Yaklaşımlarını yerel nüfusun ilgi ve ihtiyaçlarına göre uyarlayarak, Ajina başarılı enfeksiyon olasılığını önemli ölçüde artırabildi.”
Tehdit aktörlerinin ayrıca birden fazla hesabı kullanarak Telegram kanallarını çeşitli mesajlarla bombaladıkları, hatta bazen aynı anda saldırı düzenledikleri gözlemlendi; bu da muhtemelen bir tür otomatik dağıtım aracı kullanan koordineli bir çabanın göstergesi.
Kötü amaçlı yazılımın kendisi oldukça basit; yüklendikten sonra uzak bir sunucuyla bağlantı kuruyor ve kurbandan SMS mesajlarına, telefon numarası API’lerine ve mevcut hücresel ağ bilgilerine erişim izni vermesini istiyor.
Ajina.Banker, SIM kart bilgilerini, yüklü finansal uygulamaların listesini ve SMS mesajlarını toplayıp bunları sunucuya sızdırabiliyor.
Kötü amaçlı yazılımın yeni sürümleri ayrıca bankacılık bilgilerini toplamak amacıyla kimlik avı sayfaları sunmak üzere tasarlanmıştır. Dahası, arama kayıtlarına ve kişilere erişebilir ve Android’in erişilebilirlik hizmetleri API’sini kötüye kullanarak kaldırmayı önleyebilir ve kendilerine ek izinler verebilirler.
Araştırmacılar, “Java kodlayıcılarının işe alınması, Telegram botunun para kazanma teklifiyle oluşturulması, aracın aktif olarak geliştirilme sürecinde olduğunu ve bağlı çalışanlardan oluşan bir ağın desteğine sahip olduğunu da gösteriyor” dedi.
“Dosya adlarının, örnek dağıtım yöntemlerinin ve saldırganların diğer faaliyetlerinin analizi, faaliyet gösterdikleri bölgeye karşı kültürel bir aşinalığa işaret ediyor.”
Bu açıklama, Zimperium’un SpyNote ve Gigabud (GoldDigger’ı da içeren GoldFactory ailesinin bir parçası) olarak bilinen iki Android kötü amaçlı yazılım ailesi arasındaki bağlantıları ortaya çıkarmasının ardından geldi.
Şirket, “Gerçekten benzer yapıya sahip alan adları (alt alan adları olarak aynı alışılmadık anahtar sözcükleri kullanan) ve Gigabud örneklerini yaymak için kullanılan hedefler ve SpyNote örneklerini dağıtmak için de kullanılanlar” dedi. “Dağıtımdaki bu örtüşme, her iki kötü amaçlı yazılım ailesinin arkasında muhtemelen aynı tehdit aktörünün olduğunu ve iyi koordine edilmiş ve geniş kapsamlı bir kampanyaya işaret ettiğini gösteriyor.”