Os clientes bancários na região da Ásia Central foram alvos de uma nova cepa de malware para Android com o codinome Minha turma. desde pelo menos novembro de 2024 com o objetivo de coletar informações financeiras e interceptar mensagens de autenticação de dois fatores (2FA).
O Group-IB, sediado em Cingapura, que descobriu a ameaça em maio de 2024, disse que o malware é propagado por meio de uma rede de canais do Telegram criada pelos agentes da ameaça sob o disfarce de aplicativos legítimos relacionados a serviços bancários, sistemas de pagamento e serviços governamentais, ou serviços públicos diários.
“O invasor tem uma rede de afiliados motivados por ganhos financeiros, espalhando malware bancário para Android que tem como alvo usuários comuns”, disseram os pesquisadores de segurança Boris Martynyuk, Pavel Naumov e Anvar Anarkulov.
Os alvos da campanha em andamento incluem países como Armênia, Azerbaijão, Islândia, Cazaquistão, Quirguistão, Paquistão, Rússia, Tajiquistão, Ucrânia e Uzbequistão.
Há evidências que sugerem que alguns aspectos do processo de distribuição de malware baseado no Telegram podem ter sido automatizados para melhorar a eficiência. As inúmeras contas do Telegram são projetadas para servir mensagens elaboradas contendo hyperlinks — seja para outros canais do Telegram ou fontes externas — e arquivos APK para alvos involuntários.
O uso de hyperlinks que apontam para canais do Telegram que hospedam os arquivos maliciosos tem o benefício adicional de contornar medidas de segurança e restrições impostas por muitos chats da comunidade, permitindo assim que as contas evitem banimentos quando a moderação automática é acionada.
Além de abusar da confiança que os usuários depositam em serviços legítimos para maximizar as taxas de infecção, o modus operandi também envolve compartilhar arquivos maliciosos em chats locais do Telegram, fazendo-os passar por brindes e promoções que prometem oferecer recompensas lucrativas e acesso exclusivo aos serviços.
“O uso de mensagens temáticas e estratégias de promoção localizadas provou ser particularmente eficaz em chats comunitários regionais”, disseram os pesquisadores. “Ao adaptar sua abordagem aos interesses e necessidades da população native, a Ajina conseguiu aumentar significativamente a probabilidade de infecções bem-sucedidas.”
Os cibercriminosos também foram observados bombardeando canais do Telegram com diversas mensagens usando múltiplas contas, às vezes simultaneamente, indicando um esforço coordenado que provavelmente emprega algum tipo de ferramenta de distribuição automatizada.
O malware em si é bastante simples, pois, uma vez instalado, ele estabelece contato com um servidor remoto e solicita que a vítima conceda permissão para acessar mensagens SMS, APIs de números de telefone e informações atuais da rede celular, entre outros.
O Ajina.Banker é capaz de coletar informações do cartão SIM, uma lista de aplicativos financeiros instalados e mensagens SMS, que são então exfiltradas para o servidor.
Novas versões do malware também são projetadas para servir páginas de phishing em uma tentativa de coletar informações bancárias. Além disso, eles podem acessar registros de chamadas e contatos, bem como abusar da API de serviços de acessibilidade do Android para impedir a desinstalação e conceder a si mesmos permissões adicionais.
“A contratação de programadores Java, que criaram o bot do Telegram com a proposta de ganhar algum dinheiro, também indica que a ferramenta está em processo de desenvolvimento ativo e conta com o apoio de uma rede de funcionários afiliados”, disseram os pesquisadores.
“A análise dos nomes dos arquivos, métodos de distribuição de amostras e outras atividades dos invasores sugere uma familiaridade cultural com a região em que operam.”
A divulgação ocorre no momento em que a Zimperium descobriu ligações entre duas famílias de malware para Android rastreadas como SpyNote e Gigabud (que faz parte da família GoldFactory, que também inclui o GoldDigger).
“Domínios com estrutura realmente comparable (usando as mesmas palavras-chave incomuns como subdomínios) e alvos usados para espalhar amostras do Gigabud e também foram usados para distribuir amostras do SpyNote”, disse a empresa. “Essa sobreposição na distribuição mostra que o mesmo agente de ameaça provavelmente está por trás de ambas as famílias de malware, apontando para uma campanha bem coordenada e ampla.”
