Zlonamjerni Android softver: Ajina.Banker
Ajina.Banker je sofisticirani zlonamjerni softver dizajniran da se infiltrira na Android uređaje, prvenstveno ciljajući finansijske aplikacije za eksfiltraciju podataka. Prikuplja ključne informacije kao što su detalji SIM kartice, instalirane finansijske aplikacije, SMS poruke, evidencije poziva i kontakti. Ovaj sofisticirani softver je prvi put otkrila singapurska firma za sajber bezbjednost Group-IB u maju 2024. godine.
AJINA.BANKER
Ajina.Banker je svestrani zlonamjerni softver dizajniran za krađu finansijskih informacija i presretanje poruka sa autentifikacijom u dva koraka (eng. two-factor authentication – 2FA). Prikuplja ključne podatke kao što su informacije o SIM kartici, lista instaliranih finansijskih aplikacija, SMS poruke, evidencije poziva, kontakti, pa čak i zloupotrebljava API za usluge pristupačnosti Android uređaj da bi spriječio deinstalaciju i dodijelio sebi dodatne dozvole.
Prva poznata infekcija ovog zlonamjernog softvera je otkrivena u novembru 2023. godine. Ovaj zlonamjerni softver je inficirao oko 5.197 uređaja, što je otkriveno telemetrijskim podacima između 30. novembra 2023. godine i 31. jula 2024. godine.
Distribucija
Ajina.Banker koristi lukavu strategiju da privuče potencijalne žrtve dijeljenjem zlonamjernih datoteka u lokalnim Telegram dopisivanjima, koristeći obmanjujuće metode kao što su pravljenje primamljivih poklona i promotivnih poruka koje obećavaju unosne nagrade ili ekskluzivan pristup traženim uslugama. U jednom datom primjeru, zlonamjerni akter je koristio tekstualne poruke na uzbekistanskom jeziku, nudeći do 100 miliona suma bonusa (oko 7040 evra) i drugih vrijednih poklona u zamjenu za preuzimanje i instaliranje posebne .APK datoteke priložene poruci. Ova super isplativa ponuda važila je samo do kraja mjeseca, pozivajući korisnike da što pre pokrenu .APK datoteku na svojim pametnim telefonima.
Prema dostupnim informacijama od strane sigurnosnih istraživača, upotreba tematskih poruka i lokalizovanih strategija promocije pokazala se posebno efikasnom u razgovorima u regionalnoj zajednici. Prilagođavajući svoj pristup interesima i potrebama lokalnog stanovništva, Ajina.Banker zlonamjerni softver je uspio da značajno poveća vjerovatnoću uspješne infekcije. Zlonamjerni akteri su takođe primijećeni kako bombarduju Telegram kanale sa nekoliko poruka koristeći više naloga, povremeno istovremeno, što ukazuje na koordinisani napor koji vjerovatno koristi neku vrstu automatizovanog alata za distribuciju.
Distribucija Ajina.Banker zlonamjernog softvera je olakšana preko mreže Telegram kanala, što ga čini izazovnim za praćenje i eliminaciju. Ovaj metod širenja naglašava potrebu za oprezom i snažnim mjerama sajber bezbjednosti među korisnicima u Centralnoj Aziji, gdje je zlonamjerni softver aktivno ciljao klijente banaka od kada je otkriven.
Korišćenje veza koje upućuju na Telegram kanale koji skladište zlonamjerne datoteke ima dodatnu prednost u tome što zaobilazi bezbjednosne mjere i ograničenja koja nameću mnoga ćaskanja u zajednici, čime se omogućava nalozima da izbjegnu zabrane kada se pokrene automatska moderacija. Ova taktika omogućava zlonamjernom akteru da zadrži prisustvo na ovim platformama bez izazivanja sumnje.
Funkcionisanje
Sigurnosni istraživači su otkrili i analizirali dvije varijante ovog zlonamjernog softvera: Ajina.Banker.A i Ajina.Banker.B. Prva varijanta je poznata od novembra 2023. godine, dok se druga varijanta pojavila u krajem februara 2024. godine.
Ajina.Banker.A
Nakon pokretanja, Ajina.Banker.A verzija se povezuje sa serverom i generiše AES ključ za šifrovanje, koji se zatim šalje serveru zajedno sa tvrdo kodiranim imenom i korisničkom identifikacijom (ID). Većina komunikacija između zlonamjernog softvera i njegovih komandnih i kontrolnih servera je šifrovana pomoću AES/GCM/NoPadding paketa šifrovanja.
Dalja istraživanja otkrivaju da se ove poruke, iako su JSON kôdirane, šalju preko neobrađenog TCP priključka umjesto da budu umotane u HTTP protokol. Ovaj metod komunikacije je taktika koju koriste zlonamjerni akteri da bi izbjegli otkrivanje i analizu.
Iz perspektive žrtve, kada se Ajina.Banker.A verzija zlonamjernog softvera pokrene, učitava pozadinu sa spoljnog legitimnog resursa i traži korisničke dozvole. Ako se ove dozvole daju preko sistemskog dijaloga, zlonamjerni softver onemogućava aktivnost, sprečavajući svako naknadno pokretanje korisničkog interfejsa svoje aplikacije iz grafičkog okruženja operativnog sistema. Ova taktika ima za cilj da održi postojanost na kompromitovanom uređaju bez izazivanja sumnje.
Utvrđeno je da Ajina.Banker.A verzija prikuplja ogroman niz podataka sa zaraženog uređaja kada dobije dozvole. Ove informacije se zatim šalju serveru za dalju upotrebu. Za svaku aktivnu SIM karticu, zlonamjerni softver prikuplja bitne identifikatore kao što su MCC+MNC kôdovi trenutno registrovanog operatera i provajdera SIM kartice. Pored toga, prikuplja ime trenutno registrovanog operatera, ISO-3166-1 alpha-2 kôd zemlje koji je ekvivalentan i kôdu zemlje mobilne telefonije (eng. Mobile Country Code – MCC) trenutno registrovanog operatera ili obližnje ćelije i kôdu zemlje SIM provajdera.
Zlonamjerni softver takođe identifikuje ime provajdera usluga (eng. service provider name – SPN), telefonski broj povezan sa svakom aktivnom SIM karticom i određuje da li je ime provajdera usluga (SPN) “poznato” ili ne. Ako je poznato, zlonamjerni softver šalje zahtev za nestrukturirane dodatne podatke o usluzi (eng. Unstructured Supplementary Service Data – USSD) za preuzimanje brojeva telefona svih aktivnih SIM kartica sa uređaja žrtve.
Zlonamjerni softver prikuplja informacije o instaliranim finansijskim aplikacijama koje potiču iz Jermenije, Azerbejdžana, Islanda, Kazahstana, Kirgizije, Pakistana, Rusije, Uzbekistana i nekih drugih svjetskih zemalja. Takođe prati poslate i primljene SMS poruke, uključujući primaoca, pošiljaoca, sadržaj, datum, kao i sve dolazne SMS poruke koje se ne odnose na ciljane banke.
Prikupljeni podaci se zatim prenose na server za pristup za dalju analizu ili zlonamjerne aktivnosti. Ovo detaljno prikupljanje informacija omogućava zlonamjernom softveru da proširi svoju listu ciljeva, registruje naloge u organizacijama koje prvobitno nisu bile namijenjene napadima i efikasnije sprovodi zlonamjerne aktivnosti.
Ajina.Banker.B
Varijanta Ajina.Banker.B zlonamjernog softvera je prvi put otkrivena u februaru 2024. godine i ostaje i staje najpreuzimaniji uzorak do sada. Ova varijanta pokazuje jedinstvenu funkciju toka izvršavanja koja predstavlja interfejs nalik na phishing stranici umjesto uobičajene pozadinske slike. Pretpostavlja se da je ova nova funkcija dizajnirana za krađu podataka, posebno ciljajući telefonske brojeve koje je dao korisnik, brojeve bankovnih kartica i PIN kodove. Međutim, sigurnosni istraživači tek treba da uspješno pokrenu ovu funkciju toka.
Čini se da se zlonamjerni softver prvenstveno fokusira na korisnike u Azerbejdžanu zbog tvrdo kôdiranog prefiksa telefonskog broja i jezika teksta koji se koristi u iskačućem Toast prozoru. Pored toga, primijećeno je da neke zajedničke karakteristike u analiziranim uzorcima uključuju nove pakete od interesa, zloupotrebu usluga pristupačnosti za sprečavanje deinstalacije, davanje dozvola i zahteve za dodatnim dozvolama kao što su READ_CALL_LOG, GET_ACCOUNTS i READ_CONTACTS. Zanimljivo je da se čini da analizirani uzorci ne upućuju pozive API okruženju Android platforme koji bi zahtijevali ove dozvole. Štaviše, kada mu se daju dozvole, zlonamjerni softver otvara drugu legitimnu aplikaciju umjesto pretraživača.
Google odgovor
Kompanija Google je navela da nije pronašla nikakve dokaze da se Ajina.Banker distribuira preko Google Play prodavnice. Ovo znači da za razliku od drugih sličnih zlonamjernih softvera, Ajina.Banker zlonamjerni softver ne koristi Google Play prodavnicu za svoju distribuciju. Umjesto toga, njegovo širenje je olakšano putem mreže Telegram kanala, što ga čini izazovnim za praćenje i uklanjanje. Ovaj tajni pristup otežava korisnicima i bezbjednosnim agencijama da efikasno otkriju i neutrališu ovu prijetnju.
Kompanija Google korisnicima savjetuje da budu oprezni kada preuzimaju aplikacije iz izvora trećih strana ili neprovjerenih kanala poput Telegrama. Pored toga, korisnici Android operativnog sistema mogu biti smireniji sa saznanjem da su od ove prijetnje zaštićeni pomoću Google Play Protect zaštite, koja je podrazumijevano uključena na uređajima sa Google Play uslugama.
ZAKLJUČAK
Ajina.Banker je sofisticirani zlonamjerni softver koji koristi različite načine za infiltriranje Android uređaja i izdvajanje osjetljivih podataka. Primarni cilj ovog zlonamjernog softvera je krađa finansijskih informacija i presretanje poruka o autentifikaciji u dva koraka (2FA), što ga čini izuzetno moćnim oružjem u rukama zlonamjernih aktera.
Način funkcionisanja Ajina.Banker zlonamjernog softvera uključuje prikupljanje kritičnih informacija kao što su detalji o SIM kartici, lista instaliranih finansijskih aplikacija, SMS poruke, evidencije poziva i kontakti. Ovi podaci se zatim potajno eksfiltriraju na udaljeni server radi eksploatacije. Da bi izbjegao otkrivanje i uklanjanje, zlonamjerni softver takođe zloupotrebljava usluge pristupačnosti, sprečavajući deinstalaciju i dajući sebi dodatne dozvole.
Jedan jedinstveni aspekt ovog zlonamjernog softvera je njegov način distribucije kroz mrežu Telegram kanala. Decentralizovana priroda ove platforme otežava praćenje i eliminisanje izvora zlonamjernog softvera, dodajući dodatni sloj složenosti u borbi protiv ove prijetnje.
Napredne mogućnosti Ajina.Banker zlonamjernog softvera naglašavaju rastuću sofisticiranost taktike zlonamjernih aktera. Naglašava se potreba za snažnim mjerama sajber bezbjednosti za zaštitu osjetljivih finansijskih podataka. Korisnici moraju da budu oprezni i proaktivni u zaštiti svoje digitalne imovine, jer pejzaž sajber prijetnji nastavlja da se razvija alarmantnom brzinom.
ZAŠTITA
Kako bi se zaštitili od zlonamjernog softvera Ajina.Banker, neophodno je koristiti kombinaciju proaktivnih i reaktivnih mjera. Evo pregleda nekih ključnih koraka:
- Potrebno je biti informisan o novim prijetnjama kao što je Ajina.Banker prateći pouzdane izvore vesti ili se pretplatiti na bezbjednosna upozorenja od pouzdanih bezbjednosnih organizacija. Ovo će pomoći da se bude svjestan i ostane oprezan protiv potencijalnih napada,
- Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
- Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
- Redovno ažurirati antivirusni softver i druge alate za zaštitu od zlonamjernog softvera na svim uređajima (računarima, pametnim telefonima) kako bi se osiguralo da mogu da otkriju i neutrališu najnovije prijetnje kao što je Ajina.Banker. Pored toga, kompanija Google je potvrdila da Play Protect blokira ovaj zlonamjerni softver, tako da treba provjeriti da li je ova opcija u podešavanjima uređaja omogućena,
- Održavati operativni sistem, aplikacije i pregledač ažuriranim sa najnovijim bezbjednosnim ažuriranjima, jer ona često uključuju ispravke za poznate ranjivosti koje bi zlonamjerni softver mogao da iskoristi,
- Koristiti jake, jedinstvene lozinke za sve naloge, posebno bankarske. Razmisliti o korišćenju menadžera lozinki za bezbjedno skladištenje lozinki,
- Omogućiti autentifikaciju u dva koraka (2FA) gdje god je to moguće, jer ona dodaje još jedan nivo sigurnosti tako što od korisnika zahteva da obezbijede dva oblika identifikacije pre pristupanja svom nalogu. Ovo može značajno smanjiti rizik od neovlaštenog pristupa, čak i ako je lozinka ugrožena,
- Biti oprezan sa sumnjivim prilozima i paziti da se ne klikne na sumnjive ili nepoznate veze u elektronskoj pošti, porukama ili objavama na društvenim mrežama, jer mogu dovesti do preuzimanja zlonamjernog softvera kao što je Ajina.Banker. Izbjegavati otvaranje priloga elektronske pošte iz nepouzdanih izvora,
- Redovno pregledati bankovne izvode i paziti na bilo kakvu neuobičajene aktivnost. Ako korisnici primijete nešto sumnjivo, odmah bi trebali kontaktirati svoju banku,
- Kada se pristupa bankarskim aplikacijama ili internet lokacijama, uvjeriti se da je veza zaštićena pomoću HTTPS protokola. Ovaj protokol šifruje podatke koji se šalju između korisničkog uređaja i servera kako bi se spriječilo presretanje od strane zlonamjernih aktera poput onih koji stoje iza Ajina.Banker zlonamjernog softvera,
- Ako je dostupna u bankarskim aplikacijama, koristiti biometriju kao što je otisak prsta ili prepoznavanje lica za dodatnu sigurnost. Ove funkcije mogu pomoći u zaštiti od neovlaštenog pristupa čak i ako neko neovlašten dođe do korisničkog uređaja,
- Dijeliti informacije o najboljim praksama sajber bezbjednosti sa prijateljima, članovima porodice i kolegama da bi se podigla svest i smanjili rizici da se postane žrtva zlonamjernih prijetnji kao što je Ajina.Banker.