برنامج Android الخبيث الجديد “Ajina.Banker” يسرق البيانات المالية ويتجاوز المصادقة الثنائية عبر Telegram
تم استهداف عملاء البنوك في منطقة آسيا الوسطى من خلال سلالة جديدة من البرامج الضارة التي تعمل بنظام Android والتي تحمل الاسم الرمزي أجينا بانكر منذ نوفمبر 2024 على الأقل بهدف جمع المعلومات المالية واعتراض رسائل المصادقة الثنائية (2FA).
وقالت Group-IB، ومقرها سنغافورة، والتي اكتشفت التهديد في مايو 2024، إن البرمجيات الخبيثة يتم نشرها عبر شبكة من قنوات Telegram أنشأها ممثلو التهديد تحت ستار التطبيقات المشروعة المتعلقة بالأعمال المصرفية وأنظمة الدفع والخدمات الحكومية، أو المرافق اليومية.
“يمتلك المهاجم شبكة من الشركات التابعة تحفزها المكاسب المالية، وتنشر برامج ضارة مصرفية تعمل بنظام Android وتستهدف المستخدمين العاديين”، هذا ما قاله الباحثون الأمنيون بوريس مارتينيوك، وبافيل نوموف، وأنفار أناركولوف. قال.
تشمل أهداف الحملة المستمرة دولًا مثل أرمينيا وأذربيجان وأيسلندا وكازاخستان وقيرغيزستان وباكستان وروسيا وطاجيكستان وأوكرانيا وأوزبكستان.
هناك أدلة تشير إلى أن بعض جوانب عملية توزيع البرامج الضارة المستندة إلى Telegram ربما تم تشغيلها تلقائيًا لتحسين الكفاءة. تم تصميم حسابات Telegram العديدة لخدمة رسائل معدة تحتوي على روابط – إما لقنوات Telegram أخرى أو مصادر خارجية – وملفات APK لأهداف غير مقصودة.
إن استخدام الروابط التي تشير إلى قنوات Telegram التي تستضيف الملفات الضارة له فائدة إضافية تتمثل في تجاوز التدابير الأمنية والقيود التي تفرضها العديد من الدردشات المجتمعية، وبالتالي السماح للحسابات بتجنب الحظر عند تشغيل الإشراف التلقائي.
إلى جانب إساءة استخدام الثقة التي يضعها المستخدمون في الخدمات المشروعة لزيادة معدلات الإصابة إلى أقصى حد، تتضمن طريقة العمل أيضًا مشاركة الملفات الضارة في محادثات Telegram المحلية عن طريق تمريرها كهدايا وعروض ترويجية تدعي أنها تقدم مكافآت مربحة ووصولاً حصريًا إلى الخدمات.
وقال الباحثون: “لقد أثبت استخدام الرسائل ذات الموضوعات المحددة واستراتيجيات الترويج المحلية فعاليته بشكل خاص في محادثات المجتمع الإقليمي”. “من خلال تصميم نهجها بما يتناسب مع مصالح واحتياجات السكان المحليين، تمكنت أجينا من زيادة احتمالية نجاح العدوى بشكل كبير.”
وقد لوحظ أيضًا أن الجهات الفاعلة في مجال التهديد تقصف قنوات Telegram بعدة رسائل باستخدام حسابات متعددة، في بعض الأحيان في وقت واحد، مما يشير إلى جهد منسق يستخدم على الأرجح نوعًا من أدوات التوزيع الآلية.
تعد البرامج الضارة في حد ذاتها واضحة إلى حد ما، حيث أنه بمجرد تثبيتها، تقوم بإنشاء اتصال مع خادم بعيد وتطلب من الضحية منحها الإذن للوصول إلى الرسائل النصية القصيرة وواجهات برمجة تطبيقات أرقام الهاتف ومعلومات الشبكة الخلوية الحالية، من بين أمور أخرى.
Ajina.Banker قادر على جمع معلومات بطاقة SIM، وقائمة بالتطبيقات المالية المثبتة، والرسائل النصية القصيرة، والتي يتم بعد ذلك ترحيلها إلى الخادم.
تم أيضًا تصميم الإصدارات الجديدة من البرامج الضارة لخدمة صفحات التصيد الاحتيالي في محاولة لجمع المعلومات المصرفية. علاوة على ذلك، يمكنهم الوصول إلى سجلات المكالمات وجهات الاتصال، بالإضافة إلى إساءة استخدام واجهة برمجة التطبيقات لخدمات إمكانية الوصول في Android لمنع إلغاء التثبيت ومنح أنفسهم أذونات إضافية.
وقال الباحثون: “إن توظيف مبرمجي جافا، وإنشاء روبوت Telegram مع اقتراح كسب بعض المال، يشير أيضًا إلى أن الأداة في طور التطوير النشط وتحظى بدعم شبكة من الموظفين التابعين لها”.
“يشير تحليل أسماء الملفات وطرق توزيع العينات والأنشطة الأخرى للمهاجمين إلى وجود إلمام ثقافي بالمنطقة التي يعملون فيها.”
ويأتي هذا الكشف في الوقت الذي كشفت فيه Zipperium عن روابط بين عائلتين من البرامج الضارة التي تعمل بنظام Android والتي تم تتبعها باسم SpyNote وGigabud (والتي تعد جزءًا من عائلة GoldFactory التي تتضمن أيضًا GoldDigger).
“المجالات ذات البنية المتشابهة حقًا (باستخدام نفس الكلمات الرئيسية غير العادية مثل النطاقات الفرعية) والأهداف المستخدمة لنشر عينات Gigabud وتم استخدامها أيضًا لتوزيع عينات SpyNote،” الشركة قال. “يظهر هذا التداخل في التوزيع أن نفس جهة التهديد من المحتمل أن تكون وراء كلتا عائلتي البرمجيات الخبيثة، مما يشير إلى حملة واسعة النطاق ومنسقة جيدًا.”
إرسال التعليق