Ciberdelincuencia, seguridad de endpoints, gestión de fraude y ciberdelincuencia
El malware Ajina intercepta códigos SMS y se dirige a bancos y plataformas de pago. Detalles Mathew J. Schwartz (seguridad de la información del euro) • 12 de septiembre de 2024 Imagen: Shutterstock
Visto por primera vez a finales de 2023, el malware de Android se dirige a las cuentas bancarias y de pago en línea de los usuarios y tiene la capacidad de robar códigos de acceso únicos enviados por SMS.
referencia: Guía de refuerzo de seguridad de mainframe
La firma de ciberseguridad Group IB dice que el grupo detrás de un “ataque de malware dañino y generalizado” con el nombre en código “Ajina” ha comprometido con éxito numerosos dispositivos de usuarios finales en toda Asia Central. Las infecciones diarias relacionadas con malware aumentaron en la segunda mitad de 2023, volvieron a aumentar en febrero, mayo y junio, y en menor medida en agosto, lo que indica que el malware todavía está muy activo.
Group-IB dice que no hay forma de cuantificar la cantidad de dinero que el grupo ha robado de los bancos, pero la continua distribución y desarrollo de malware dirigido a los bancos indica que ha tenido al menos cierto éxito, si no más.
Los investigadores dicen que descubrieron el malware por primera vez cuando fue subido desde Uzbekistán en mayo. El malware se subió en forma de una aplicación maliciosa que parecía haber sido desarrollada por una “autoridad fiscal local”. Cuando los investigadores rastrearon las direcciones IP desde las que el malware intentó “llamar a casa”, descubrieron otros archivos .apk (paquete de Android) que mostraban un comportamiento similar, lo que llevó a ataques que comenzaron en noviembre de 2023. Regresaron.
Teniendo en cuenta la conexión con Uzbekistán, los investigadores creen que el grupo detrás del malware es un grupo mitológico descrito por un aficionado a la mitología como “un gigante con cabeza de cabra que tiende emboscadas a niños traviesos en montones de ceniza y casas abandonadas”. tras la bestia.
Según los investigadores, Ajina inicialmente intentó usar Telegram para distribuir el archivo APK del malware Ajina.Banker a través de ataques de phishing e ingeniería social, que engañaban a las víctimas para que usaran “bancos legítimos, gobiernos o estaba diseñado para engañarlo para que usara” una utilidad cotidiana. aplicaciones” haciéndole creer que estaba accediendo a ellas.
Los ataques anteriores se han dirigido a personas en varios países, incluidos Rusia y Ucrania, así como Armenia, Azerbaiyán, Pakistán, Kazajstán, Kirguistán, Tayikistán e Islandia, dijeron.
A principios de este año, el equipo nacional de respuesta a emergencias informáticas de Armenia, AM-CERT, emitió su propia advertencia sobre una variante de malware llamada “Ardshihn-bank.apk” disfrazada de una aplicación legítima distribuida por el banco comercial armenio Ardshinbank.
“Se están difundiendo paquetes APK maliciosos a través de mensajes de Telegram, donde a los usuarios se les prometen recompensas monetarias si instalan la aplicación”, dijo AM-CERT. “Una vez que un dispositivo está infectado, el malware roba información sobre aplicaciones bancarias/relacionadas con pagos, así como información sobre mensajes SMS y USSD del dispositivo. Esto permite al atacante robar mensajes SMS recibidos con fines de autenticación de dos factores y otras aplicaciones. Es posible que pueda hacerse cargo de su cuenta.
Otras aplicaciones atacadas por el malware incluyen sistemas de pago en línea como easywallet, HayPost Pay, MobiDram y Tellcell, dijo la compañía.
“Android no permite la instalación de aplicaciones de fuentes distintas a Google Play de forma predeterminada, así que asegúrese de activar esta configuración”, dijo AM-CERT.
Según Group-IB, una vez que una víctima ejecuta el malware, solicita ciertos permisos de Android, incluida la capacidad de leer números de teléfono y recibir y leer mensajes SMS. Una vez que una víctima otorga estos privilegios, el malware está diseñado para deshabilitar el acceso a los cuadros de diálogo del sistema necesarios para revocar los privilegios.
Group-IB dijo que las 1.402 muestras de malware que ha recuperado hasta ahora parecen contener detalles codificados sobre los afiliados de los distintos grupos. “Esto nos lleva a la conclusión de que el malware se basa en un programa de afiliados, donde el soporte inicial del proyecto está a cargo de un pequeño grupo de personas, y toda la cadena de distribución e infección se mantiene a un ritmo fijo”. quienes obtienen ganancias”, dijeron los investigadores, refiriéndose al modelo de participación en las ganancias empleado por muchos programas de afiliados de delitos cibernéticos.
La noticia de que troyanos bancarios relativamente nuevos se dirigen activamente a los usuarios finales llega a pesar del apogeo de este tipo de malware en la década de 2010, especialmente después de que se filtró su código fuente en 2011, e innumerables esto a pesar de estar impulsados por malware como Zeus, un banco. Troyano dirigido a Windows que generó imitadores.
Con el aumento del ransomware a finales de la década de 2010, acelerado por la introducción del modelo de extorsión dual y que ofrece enormes ganancias a los perpetradores, el interés de muchos delincuentes en los troyanos bancarios parece haber disminuido.
Según el FBI, el fraude de inversiones fue el delito en línea más costoso el año pasado, seguido por el fraude de correo electrónico comercial y el fraude de soporte técnico. En 2023, casi 300.000 víctimas denunciarán ataques de phishing, pero sólo 659 presentarán denuncias relacionadas con malware. Sin embargo, por supuesto, puede resultar difícil identificar el malware como un vector de amenaza para los atacantes.
En cualquier caso, los troyanos bancarios parecen seguir siendo una amenaza particular para los usuarios de Android en Asia Central. “Los troyanos bancarios siguen activos y los actores de amenazas distribuyen ampliamente troyanos modificados basados en el código fuente disponible públicamente”, afirmó Group-IB.
https://www.govinfosecurity.com/android-trojans-still-pose-threat-researchers-warn-a-26272
