Nasabah bank di kawasan Asia Tengah telah menjadi sasaran malware Android jenis baru dengan nama sandi Ajina.Bankir setidaknya sejak November 2024 dengan tujuan mengumpulkan informasi keuangan dan menyadap pesan autentikasi dua faktor (2FA).
Group-IB yang berkantor pusat di Singapura, yang menemukan ancaman tersebut pada bulan Mei 2024, mengatakan malware tersebut disebarkan melalui jaringan saluran Telegram yang dibuat oleh pelaku ancaman dengan kedok aplikasi sah yang terkait dengan perbankan, sistem pembayaran, dan layanan pemerintah, atau utilitas sehari-hari.
“Penyerang memiliki jaringan afiliasi yang dimotivasi oleh keuntungan finansial, menyebarkan malware bankir Android yang menargetkan pengguna biasa,” kata peneliti keamanan Boris Martynyuk, Pavel Naumov, dan Anvar Anarkulov.
Sasaran kampanye yang sedang berlangsung ini meliputi negara-negara seperti Armenia, Azerbaijan, Islandia, Kazakhstan, Kyrgyzstan, Pakistan, Rusia, Tajikistan, Ukraina, dan Uzbekistan.
Ada bukti yang menunjukkan bahwa beberapa aspek dari proses distribusi malware berbasis Telegram mungkin telah diotomatisasi untuk meningkatkan efisiensi. Banyak akun Telegram dirancang untuk menyajikan pesan yang dibuat khusus yang berisi tautan — baik ke saluran Telegram lain atau sumber eksternal — dan file APK ke target yang tidak mengetahui.
Penggunaan tautan yang mengarah ke saluran Telegram yang menyimpan file berbahaya memiliki manfaat tambahan yaitu menerobos langkah-langkah keamanan dan pembatasan yang diberlakukan oleh banyak obrolan komunitas, sehingga memungkinkan akun tersebut menghindari pemblokiran saat moderasi otomatis dipicu.
Selain menyalahgunakan kepercayaan pengguna terhadap layanan sah untuk memaksimalkan tingkat infeksi, modus operandinya juga melibatkan penyebaran file berbahaya di obrolan Telegram lokal dengan cara menyebarkannya sebagai hadiah dan promosi yang mengklaim menawarkan imbalan menggiurkan dan akses eksklusif ke layanan.
“Penggunaan pesan bertema dan strategi promosi lokal terbukti sangat efektif dalam obrolan komunitas regional,” kata para peneliti. “Dengan menyesuaikan pendekatan mereka dengan minat dan kebutuhan penduduk lokal, Ajina mampu meningkatkan kemungkinan keberhasilan infeksi secara signifikan.”
Para pelaku ancaman juga telah diamati membombardir saluran Telegram dengan beberapa pesan menggunakan beberapa akun, terkadang secara bersamaan, yang menunjukkan adanya upaya terkoordinasi yang kemungkinan menggunakan semacam alat distribusi otomatis.
Malware itu sendiri cukup mudah dipahami karena, setelah terinstal, ia akan menjalin kontak dengan server jarak jauh dan meminta korban untuk memberinya izin guna mengakses pesan SMS, API nomor telepon, dan informasi jaringan seluler saat ini, antara lain.
Ajina.Banker mampu mengumpulkan informasi kartu SIM, daftar aplikasi keuangan yang terinstal, dan pesan SMS, yang kemudian diekstraksi ke server.
Versi baru malware tersebut juga dirancang untuk menyajikan halaman phishing dalam upaya mengumpulkan informasi perbankan. Lebih jauh lagi, malware tersebut dapat mengakses log panggilan dan kontak, serta menyalahgunakan API layanan aksesibilitas Android untuk mencegah pencopotan pemasangan dan memberi diri mereka izin tambahan.
“Perekrutan programmer Java, pembuatan bot Telegram dengan tujuan menghasilkan uang, juga menunjukkan bahwa alat tersebut sedang dalam proses pengembangan aktif dan mendapat dukungan dari jaringan karyawan yang terafiliasi,” kata para peneliti.
“Analisis nama berkas, metode distribusi sampel, dan aktivitas lain yang dilakukan para penyerang menunjukkan adanya keakraban budaya dengan wilayah tempat mereka beroperasi.”
Pengungkapan itu terjadi saat Zimperium menemukan hubungan antara dua keluarga malware Android yang dilacak sebagai SpyNote dan Gigabud (yang merupakan bagian dari keluarga GoldFactory yang juga mencakup GoldDigger).
“Domain dengan struktur yang sangat mirip (menggunakan kata kunci yang tidak biasa yang sama sebagai subdomain) dan target yang digunakan untuk menyebarkan sampel Gigabud dan juga digunakan untuk mendistribusikan sampel SpyNote,” kata perusahaan tersebut. “Tumpang tindih dalam distribusi ini menunjukkan bahwa pelaku ancaman yang sama kemungkinan berada di balik kedua keluarga malware, yang menunjukkan adanya kampanye yang terkoordinasi dengan baik dan luas.”