一种名为Trojan Ajina.Banker的新Android恶意软件正瞄准中亚 – 了解这种恶意软件如何伪装成合法应用程序来窃取银行信息并拦截2FA消息。了解攻击者使用的策略以及如何保护自己免受这种日益严重的威胁。

中亚已成为一项新的恶意活动的目标，该活动传播名为“Ajina.Banker”的Android恶意软件。Ajina.Banker于2024年5月被Group-IB发现，自2023年11月以来一直在肆虐，研究人员发现了大约1400种独特的恶意软件变种。

该恶意软件以乌兹别克斯坦神话中一种恶毒的精灵命名，该精灵以欺骗、变形和混乱而闻名。Ajina.Banker通过伪装成银行服务、政府门户和日常实用程序等受信任的应用程序来瞄准毫无戒心的用户，“以最大限度地提高感染率并诱使人们下载和运行恶意文件，从而危害他们的设备。”

该恶意软件主要通过Telegram等消息平台上的社交工程策略进行传播。攻击者创建大量账户，以诱人的优惠、促销甚至当地税务机关应用程序的形式分发恶意链接和文件。用户受到“丰厚奖励”或“独家访问”承诺的诱惑，在不知情的情况下下载并安装恶意软件，从而危害其设备。

攻击者还采取了多管齐下的策略，发送仅附有恶意文件的消息，利用用户的好奇心。此外，他们还分享托管恶意软件的频道链接，绕过一些社区聊天中的安全措施。

Ajina使用主题消息和本地化推广策略在区域社区聊天中营造出一种紧迫感和兴奋感，敦促用户点击链接或下载文件而不会怀疑有恶意。这些活动在多个帐户上进行，有时是同时进行的，表明这是一种协调一致的努力。

Ajina.Banker主要针对乌兹别克斯坦的用户，但其攻击范围已超越国界。该恶意软件收集来自亚美尼亚、阿塞拜疆、冰岛和俄罗斯等多个国家/地区已安装金融应用程序的信息。此外，它还收集SIM卡详细信息并拦截传入的短信，从而可能获取金融账户的2FA代码。

该恶意软件表现出令人担忧的适应性。分析显示有两个不同的版本 - com.example.smshandler和org.zzzz.aaa - 表明该恶意软件仍在不断发展。较新的版本展示了更多功能，包括窃取用户提供的电话号码、银行卡详细信息和PIN码的能力。

Group-IB的调查显示，Ajina.Banker采用联盟计划模式运营。核心团队负责管理基础设施，而联盟网络负责处理分发和感染链，这可能是受被盗资金份额的激励。

为了保护您自己和您的设备免受Ajina.Banker和类似威胁的侵害，请警惕未经请求的消息和下载，坚持使用Google Play Store等可信赖的应用商店，仔细检查应用权限，安装安全软件，并随时了解最新的恶意软件威胁和移动安全最佳实践。

移动设备安全公司iVerify的联合创始人兼首席运营官Rocky Cole分享了他对这一狡猾新活动的评论：

“凭证盗窃是威胁行为者采取的首要行动。在手机上窃取凭证非常容易，因为手机屏幕较小、注意力较差、缺乏培训以及个人和专业用例混合使用会使人们面临风险。这种新的Android恶意软件只是这种趋势的延续，也是手机应该运行EDR平台来检测恶意APK和社交工程尝试的一个典型例子。”