Un nuevo malware para Android llamado Trojan Ajina.Banker tiene como objetivo Asia Central. Descubra cómo este malware malicioso se disfraza de una aplicación legítima para robar información bancaria e interceptar mensajes 2FA. Conozca las tácticas utilizadas por los atacantes y cómo protegerse de esta creciente amenaza.
Asia Central ha sido el objetivo de una nueva campaña maliciosa que distribuye malware para Android llamada 'Ajina.Banker'. Descubierto por Group-IB en mayo de 2024, Ajina.Banker ha estado causando estragos desde noviembre de 2023, con alrededor de 1400 variantes únicas del malware identificadas por los investigadores.
El malware lleva el nombre de un malévolo espíritu mítico uzbeko conocido por su engaño, transformación y confusión. Ajina.Banker se dirige a usuarios desprevenidos haciéndose pasar por aplicaciones confiables, como servicios bancarios, portales gubernamentales y utilidades cotidianas, “maximizando las tasas de infección e incitándolos a descargar y ejecutar archivos maliciosos… y poner su dispositivo en riesgo”.
El malware se propaga principalmente mediante tácticas de ingeniería social en plataformas de mensajería como Telegram. Los atacantes crean numerosas cuentas y distribuyen ofertas atractivas, promociones e incluso enlaces y archivos maliciosos disfrazados de aplicaciones de la oficina de impuestos local. Atraídos por promesas de “altas recompensas” o “acceso limitado”, los usuarios descargan e instalan malware sin saberlo, poniendo sus dispositivos en riesgo.
Los atacantes también adoptan un enfoque múltiple, explotando la curiosidad de los usuarios enviando mensajes sólo con archivos adjuntos maliciosos. Además, comparten enlaces a canales que alojan malware, eludiendo las medidas de seguridad vigentes en algunos chats comunitarios.
Ajina utiliza mensajes temáticos y estrategias de promoción localizadas para crear una sensación de urgencia y entusiasmo en los chats de la comunidad local, animando a las personas a hacer clic en enlaces o descargar archivos sin sospechar que el usuario tenga intenciones maliciosas. Estas campañas se realizaron en varias cuentas, a veces simultáneamente, lo que sugiere un esfuerzo coordinado.
Ajina.Banker se dirige principalmente a usuarios de Uzbekistán, pero su alcance se extiende más allá de las fronteras. Este malware recopila información sobre aplicaciones financieras instaladas en varios países, incluidos Armenia, Azerbaiyán, Islandia y Rusia. Además, pueden recopilar datos de la tarjeta SIM, interceptar mensajes SMS entrantes y potencialmente obtener códigos 2FA para cuentas financieras.
Este malware exhibe un preocupante nivel de adaptabilidad. El análisis reveló dos versiones diferentes: com.example.smshandler y org.zzzz.aaa, lo que sugiere un desarrollo continuo. Las versiones más nuevas vienen con funciones adicionales, incluida la capacidad de robar números de teléfono ingresados por el usuario, detalles de tarjetas bancarias y códigos PIN.
Según una investigación de Group-IB, Ajina.Banker parece operar según un modelo de programa de afiliados. Un grupo central controla la infraestructura y una red de afiliados maneja la cadena de distribución e infección, probablemente incentivada con una parte de los fondos robados.
Para protegerse y proteger sus dispositivos de Ajina.Banker y amenazas similares, tenga cuidado con los mensajes y descargas no solicitados, utilice tiendas de aplicaciones confiables como Google Play Store, revise los permisos de las aplicaciones e instale software de seguridad y manténgase al tanto de las últimas amenazas y malware. Mejores prácticas de seguridad móvil.
Rocky Cole, cofundador y director de operaciones de la empresa de seguridad de dispositivos móviles iVerify, comentó sobre la nueva e inteligente campaña en Hackread.com:
“El robo de credenciales es la acción más frecuente que toman los actores de amenazas. Con pantallas pequeñas, poca concentración, falta de capacitación y una combinación de casos de uso personales y laborales, el robo de credenciales es la acción más frecuente que toman los actores de amenazas. es solo una extensión de esa tendencia, que requiere que su teléfono ejecute una plataforma EDR para detectar APK maliciosos e intentos de ingeniería social. Este es un gran ejemplo”.
Temas relacionados
Los piratas informáticos utilizan los sitios de Google para difundir malware bancario Google revela un ataque de software espía en Android, iOS, Chrome Apple y Google detienen el fraude publicitario de Scylla contra usuarios de iOS y Android Los usuarios de bancos de la UE están utilizando kits de phishing V3B Robo de información de inicio de sesión y OTP Malware bancario de Android roba FjordPhantom vía virtualización
New Android Malware Ajina.Banker Steals 2FA Codes, Spreads via Telegram
