Usuários de serviços bancários na Ásia Central estão sendo alvos de uma nova ameaça digital: o malware para Android conhecido como *Ajina.Banker*, ativo desde novembro de 2024. O objetivo desse software malicioso é roubar dados financeiros e interceptar mensagens de autenticação em dois fatores (2FA), essenciais para proteger transações bancárias.
De acordo com o Group-IB, uma empresa de segurança cibernética sediada em Cingapura, que identificou o malware em maio de 2024, o *Ajina.Banker* é disseminado através de canais no Telegram, criados por cibercriminosos sob a aparência de aplicativos legítimos. Esses aplicativos falsos estão relacionados a serviços bancários, sistemas de pagamento e até serviços governamentais ou utilitários de uso cotidiano.
“Os operadores por trás dessa campanha trabalham com uma rede de afiliados motivados por ganhos financeiros, distribuindo o malware que tem como alvo usuários comuns de Android”, explicaram os pesquisadores de segurança Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Alvos da Campanha
Os principais alvos do *Ajina.Banker* incluem países como Armênia, Azerbaijão, Cazaquistão, Quirguistão, Paquistão, Rússia, Tajiquistão, Ucrânia, Uzbequistão e, curiosamente, Islândia.
Os criminosos utilizam estratégias sofisticadas para distribuir o malware, sendo que parte desse processo de disseminação parece estar automatizado. As contas no Telegram são usadas para enviar mensagens com links para canais ou fontes externas que hospedam arquivos APK maliciosos, facilitando a infecção dos dispositivos dos usuários.
O uso de links para canais do Telegram, onde os arquivos maliciosos são hospedados, traz um benefício adicional: dribla as medidas de segurança e restrições impostas em muitos chats da plataforma, permitindo que as contas maliciosas evitem banimentos automáticos.
Estratégias de Engenharia Social
Para aumentar as taxas de infecção, os hackers exploram a confiança dos usuários em serviços aparentemente legítimos. Eles compartilham arquivos maliciosos em grupos locais do Telegram, disfarçados como promoções, brindes ou acessos exclusivos a serviços, prometendo recompensas atraentes.
“Mensagens localizadas e promoções específicas provaram ser especialmente eficazes em chats de comunidades regionais”, observaram os especialistas. “Ao adaptar a abordagem às preferências e necessidades locais, o *Ajina.Banker* conseguiu aumentar significativamente o número de infecções bem-sucedidas.”
Além disso, os cibercriminosos foram flagrados enviando várias mensagens simultâneas em diferentes canais, utilizando diversas contas, indicando um esforço coordenado que possivelmente envolve ferramentas de automação.
Funcionamento do Malware
Uma vez instalado, o *Ajina.Banker* entra em contato com um servidor remoto e solicita que o usuário conceda permissões críticas, como acesso a mensagens SMS, APIs de números de telefone e informações da rede celular. O malware também é capaz de coletar dados do cartão SIM, listas de aplicativos financeiros instalados e interceptar mensagens SMS, que são exfiltradas para o servidor de comando e controle.
Versões mais recentes do malware foram aprimoradas para exibir páginas de phishing, com o objetivo de capturar informações bancárias dos usuários. O *Ajina.Banker* também pode acessar registros de chamadas, contatos e explorar a API de acessibilidade do Android para impedir sua desinstalação e obter permissões adicionais.
Rede de Afiliados
Os pesquisadores apontam que o desenvolvimento do *Ajina.Banker* parece estar em andamento, uma vez que há indícios da contratação de programadores Java para criar bots no Telegram. Isso sugere a existência de uma rede bem organizada de afiliados envolvidos na campanha.
“A análise de nomes de arquivos, métodos de distribuição e outras atividades dos atacantes revela uma familiaridade cultural com a região em que operam”, afirmaram os especialistas.
Campanhas Relacionadas
A descoberta do *Ajina.Banker* ocorre no momento em que a empresa de segurança Zimperium identificou conexões entre duas outras famílias de malware para Android, conhecidas como *SpyNote* e *Gigabud* (parte da família *GoldFactory*, que também inclui o *GoldDigger*).
“Domínios com estrutura semelhante, utilizando palavras-chave incomuns como subdomínios, foram usados tanto para espalhar amostras do *Gigabud* quanto do *SpyNote*”, revelou a empresa. “Essa sobreposição na distribuição indica que o mesmo grupo de cibercriminosos pode estar por trás de ambas as famílias de malware, sugerindo uma campanha coordenada e de larga escala.”
Essa nova onda de ataques reforça a necessidade de usuários de Android redobrarem os cuidados ao baixar aplicativos e conceder permissões, especialmente em regiões sob ataque cibernético frequente.
Via - THN
Comments