新型 Android 恶意软件“Ajina.Banker”通过 Telegram 窃取财务数据并绕过 2FA

自 2023 年 11 月以来，中亚地区的银行客户就成为代号为Ajina.Banker的新型 Android 恶意软件的攻击目标，其目的是收集财务信息并拦截双因素身份验证 (2FA) 消息。

总部位于新加坡的 Group-IB 于 2024 年 5 月发现了这一威胁，该公司表示，该恶意软件通过威胁行为者以与银行、支付系统和政府服务或日常公用事业相关的合法应用程序为幌子建立的 Telegram 频道网络进行传播。

安全研究人员 Boris Martynyuk、Pavel Naumov 和 Anvar Anarkulov表示： “攻击者拥有一个由经济利益驱动的附属网络，传播针对普通用户的 Android 银行恶意软件。”

正在进行的活动的目标包括亚美尼亚、阿塞拜疆、冰岛、哈萨克斯坦、吉尔吉斯斯坦、巴基斯坦、俄罗斯、塔吉克斯坦、乌克兰和乌兹别克斯坦等国家。

有证据表明，基于 Telegram 的恶意软件分发过程的某些方面可能已实现自动化，以提高效率。众多 Telegram 帐户旨在向不知情的目标发送包含链接（指向其他 Telegram 频道或外部来源）和 APK 文件的伪造消息。

使用指向托管恶意文件的 Telegram 频道的链接还有一个额外的好处，那就是它可以绕过许多社区聊天所施加的安全措施和限制，从而允许帐户在触发自动审核时逃避禁令。

除了滥用用户对合法服务的信任来最大程度地提高感染率之外，该作案手法还包括在本地 Telegram 聊天中共享恶意文件，将其伪装成赠品和促销活动，声称可以提供丰厚的奖励和独家服务访问权。

研究人员表示：“主题信息和本地化推广策略的使用在区域社区聊天中被证明特别有效。通过根据当地居民的兴趣和需求量身定制方法，Ajina 能够显著提高成功感染的可能性。”

我们还观察到威胁行为者使用多个账户向 Telegram 频道发送多条消息，有时是同时发送，这表明威胁行为者可能采用了某种自动分发工具的协同行动。

该恶意软件本身相当简单，一旦安装，它就会与远程服务器建立联系并请求受害者授予其访问短信、电话号码 API 和当前蜂窝网络信息等的权限。

Ajina.Banker 能够收集 SIM 卡信息、已安装的金融应用程序列表和短信，然后将其传输到服务器。

新版本的恶意软件还被设计为提供钓鱼页面，试图收集银行信息。此外，它们还可以访问通话记录和联系人，以及滥用 Android 的辅助功能服务 API 来阻止卸载并授予自己额外的权限。

谷歌向 The Hacker News 表示，它没有发现任何证据表明该恶意软件通过 Google Play 商店传播，并且 Android 用户受到 Google Play Protect 的保护，免受威胁，该功能在安装 Google Play 服务的 Android 设备上默认启用。

研究人员表示：“雇佣 Java 程序员来创建 Telegram 机器人并以此赚取一些钱，也表明该工具正处于积极开发过程中，并得到了附属员工网络的支持。”

“对文件名、样本分发方法以及攻击者的其他活动的分析表明，他们对所处地区的文化非常熟悉。”

此次披露之际，Zimperium 发现了两个 Android 恶意软件家族SpyNote和Gigabud（属于 GoldFactory 家族，该家族还包括 GoldDigger）之间的联系。

该公司表示：“结构非常相似的域名（使用与子域名相同的不寻常关键字）和目标用于传播 Gigabud 样本，也用于分发 SpyNote 样本。这种分布重叠表明，这两个恶意软件家族背后很可能是同一个威胁行为者，这表明这是一场精心协调、范围广泛的活动。”