Las tendencias recientes en malware para Android han revelado una tendencia preocupante en la creciente capacidad de las aplicaciones maliciosas para robar información de inicio de sesión bancaria e interceptar mensajes de autenticación de dos factores (2FA).
Un aumento significativo de ataques sofisticados plantea un riesgo importante para la seguridad financiera de los usuarios.
Recientemente, los analistas de ciberseguridad del Grupo IB identificaron un nuevo malware para Android llamado “Ajina”. Este malware roba activamente los datos de las cuentas bancarias de los usuarios e intercepta mensajes 2FA.
El malware de Android Ajina ataca a los usuarios
La investigación de Group-IB reveló que la campaña de malware para Android “Ajina” dirigida a Asia Central, principalmente Uzbekistán, ha estado activa desde el 30 de noviembre de 2023.
El malware se identifica con el siguiente nombre de paquete, que se propaga a través de Telegram mediante tácticas de ingeniería social.
com.ejemplo.smshandler org.zzzz.aaa
Imita una aplicación genuina con hash SHA1 b04d7fa82e762ea9223fe258fcf036245b9e0e9c y 5951640c2b95c6788cd6ec6ef9f66048a35d6070.
Ajina solicita permisos importantes como READ_PHONE_STATE, CALL_PHONE, READ_PHONE_NUMBERS, RECEIVE_SMS, READ_SMS.
Recopila datos de SIM (MCC, MNC, SPN), aplicaciones financieras instaladas y contenido de SMS y los envía a un servidor C2 mediante cifrado AES/GCM/NoPadding sobre TCP sin formato.
Análisis gráfico de infraestructura de red (Fuente – Grupo-IB)
El malware explota elementos del manifiesto para omitir el permiso QUERY_ALL_PACKAGES. Utilice una solicitud USSD para recuperar un número de teléfono y enviar los datos en formato JSON con un tipo de acción numérica (1-7).
Cumplimiento de la decodificación: lo que los CISO deben saber: únase a nuestro seminario web gratuito
Las versiones posteriores (org.zzzz.aaa) introdujeron la explotación del servicio de accesibilidad, permisos adicionales (READ_CALL_LOG, GET_ACCOUNTS, READ_CONTACTS) y capacidades de phishing.
La campaña utiliza múltiples cuentas de Telegram y servidores C2 identificados por el certificado de emisor 'WIN-PDDC81NCU8C'.
Además de esto, la atribución sugiere una estructura de programa de afiliados con un desarrollo continuo evidenciado por el empleo de codificadores Java y el bot Telegram (@glavnyypouzbekambot).
Distribución de SPN compatibles y aplicaciones de interés por país codificadas en la muestra (Fuente – Grupo-IB)
El malware se dirige a usuarios de Uzbekistán, Armenia, Azerbaiyán, Kazajstán, Kirguistán y Pakistán, como lo indica el código de país integrado y la verificación del paquete de la aplicación.
La historia de Ajina muestra que el desarrollo y distribución de malware está evolucionando rápidamente. Este troyano bancario se conoce como 'Ajina'. Los banqueros surgieron rápidamente y establecieron canales de distribución eficientes.
Este enfoque es particularmente eficaz para evitar la detección temprana por parte de los sistemas de seguridad.
Ajina representa una gran amenaza para la seguridad de la banca móvil debido a su capacidad para interceptar mensajes SMS, robar credenciales de inicio de sesión y manipular el contenido en pantalla.
Recomendaciones
Todas las recomendaciones se enumeran a continuación.
Mantén tu dispositivo móvil actualizado. Asegúrate de descargar la aplicación desde Google Play. Esté siempre atento a los permisos de las aplicaciones. No haga clic en enlaces de SMS sospechosos. Si está infectado, desactive su red, congele sus cuentas bancarias y consulte a un experto. Utilice una solución de prevención de fraude que pueda detectar técnicas fraudulentas, phishing y ataques. Detecta caballos de Troya, acceso remoto y recopilación de datos personales sin software adicional. Utilice siempre soluciones de seguridad sólidas para aumentar su seguridad cibernética.
Simule escenarios de ciberataques con una plataforma de ciberseguridad todo en uno: vea el seminario web gratuito
New Android Malware Ajina Attacks Users To Steal Banking Login Details
