Un nou malware Android, denumit “Ajina”, a fost recent identificat de experții în securitate cibernetică. Acesta atacă utilizatorii pentru a fura detaliile de autentificare bancară și pentru a intercepta mesajele de autentificare cu doi factori (2FA). Malware-ul s-a răspândit rapid și a devenit o amenințare semnificativă pentru securitatea financiară a utilizatorilor din Asia Centrală.
TL;DR
- Malware-ul Android “Ajina” fură detalii bancare și interceptează mesajele 2FA.
- Malware-ul a fost identificat de Group-IB și a fost activ din noiembrie 2023.
- Malware-ul se răspândește prin Telegram folosind tactici de inginerie socială.
- Afectează în principal utilizatorii din Uzbekistan, Armenia, Azerbaijan, Kazakhstan, Kyrgyzstan, și Pakistan.
- Include recomandări pentru protecția împotriva acestui tip de atacuri.
Dezvoltarea malware-ului Ajina
Conform investigațiilor efectuate de Group-IB, malware-ul “Ajina” a fost activ în regiunea Asia Centrală, cu un accent deosebit pe Uzbekistan, încă din noiembrie 2023. Malware-ul se ascunde sub diverse nume de pachete și se răspândește prin Telegram folosind tactici de inginerie socială. Acesta imită aplicații legitime și solicită permisiuni critice precum READ_PHONE_STATE, CALL_PHONE și RECEIVE_SMS pentru a obține informații despre utilizatori și a transmite datele către servere C2.
Metode de răspândire
“Ajina” colectează date de pe SIM (MCC, MNC, SPN), aplicațiile financiare instalate și conținutul SMS-urilor, utilizând criptarea AES/GCM/NoPadding pentru a transmite aceste date prin TCP brut. Mai mult, anumite versiuni mai recente abuzează de serviciile de accesibilitate și includ capacități de phishing. Campania utilizează multiple conturi Telegram și servere C2, făcând dificilă detectarea și blocarea sa în fazele incipiente.
Ținte și impact
Printre țările afectate de malware-ul “Ajina” se numără Uzbekistan, Armenia, Azerbaijan, Kazakhstan, Kyrgyzstan, și Pakistan. Acesta vizează în special utilizatorii de aplicații financiare, reușind să intercepteze mesajele SMS și detaliile de autentificare ale acestora. Capacitatea malware-ului de a manipula conținutul afișat pe ecran și de a fura datele de autentificare reprezintă o amenințare gravă pentru securitatea bancară mobilă.
Recomandări pentru protecție
Pentru a vă proteja împotriva astfel de atacuri, se recomandă:
- Actualizați regulat dispozitivul mobil.
- Descărcați aplicații doar din Google Play.
- Verificați în mod regulat permisiunile aplicațiilor.
- Evitați să faceți clic pe linkuri suspecte din SMS-uri.
- În caz de infecție, dezactivați rețeaua, înghețați conturile bancare și consultați experți.
- Utilizați soluții de protecție împotriva fraudei care pot detecta tehnici de atac, phishing și troieni.
- Folosiți soluții robuste de securitate pentru a îmbunătăți securitatea cibernetică.
Protejare împotriva vulnerabilităților
Pentru a evita vulnerabilitățile similare cu cele exploatate de “Ajina,” utilizatorii trebuie să fie vigilenți și să respecte recomandările menționate. Este esențial să păstrați dispozitivele și aplicațiile actualizate și să aveți un software de securitate fiabil. Informați-vă mereu despre noile amenințări cibernetice și metodele de protecție disponibile.
Sursa articolului:
https://cybersecuritynews.com/new-android-malware-ajina-attacks/