Ajina.Banker: OTP-коды и банковские данные под прицелом нового вируса

В Узбекистане зафиксирована новая вредоносная кампания, распространяющая Android-вредонос под названием Ajina.Banker. Обнаруженный специалистами Group-IB в мае 2024 года, этот троян действует с ноября 2023 года и к настоящему времени имеет около 1400 уникальных версий.

Ajina.Banker получил свое название в честь мифического узбекского духа, известного своей хитростью и умением принимать различные облики. Злоумышленники используют эту способность маскировки, представляя вредоносное ПО в виде популярных приложений, таких как банковские сервисы и правительственные порталы. Это позволяет обмануть пользователей и заставить их добровольно установить троян на свои устройства.

Основным способом распространения Ajina.Banker является социальная инженерия через мессенджер Telegram. Хакеры создают многочисленные аккаунты, с которых рассылают ссылки на вредоносные файлы. Эти файлы замаскированы под заманчивые предложения, акции или даже приложения налоговых органов. В результате пользователи, поддавшись на обещания «выгодных наград» или «эксклюзивного доступа», устанавливают вредонос, не подозревая об его истинной сути.

Механизм атаки также включает отправку сообщений с прикреплёнными вредоносными файлами напрямую, без дополнительных объяснений. Злоумышленники активно используют разные каналы для распространения трояна, обходя тем самым встроенные системы безопасности некоторых чатов.

По данным исследователей, Ajina.Banker не ограничивается атаками только в Узбекистане. Троян также собирает данные о финансовых приложениях в таких странах, как Армения, Азербайджан, Казахстан, Кыргызстан, Россия и даже Исландия. Помимо этого, программа получает доступ к SIM-картам и перехватывает входящие SMS-сообщения, включая коды двухфакторной аутентификации (2FA), что создаёт дополнительные риски для пользователей.

Исследования Group-IB показали, что Ajina.Banker имеет несколько версий, что свидетельствует об его активном развитии. Новейшие версии трояна способны красть номера телефонов, данные банковских карт и PIN-коды, что делает его крайне опасным.

Интересно, что Ajina.Banker действует по модели партнёрской программы: основная группа управляет инфраструктурой, а распространение и атаки осуществляются через сеть партнёров, получающих долю от похищенных средств.

Эксперты по безопасности рекомендуют пользователям быть предельно осторожными при получении подозрительных сообщений и скачивании приложений. Следует использовать только проверенные магазины приложений, такие как Google Play, тщательно проверять разрешения приложений и устанавливать защитное ПО для предотвращения подобных угроз.