Malware Android Curi Data Keuangan dan Hindari 2FA

Bank Nasabah di kawasan Asia Tengah telah menjadi sasaran varian baru malware Android yang disebut Ajina.Banker setidaknya sejak November 2023, dengan tujuan mengumpulkan informasi finansial dan mencegah pesan autentikasi dua faktor (2FA).

Group-IB yang berkantor pusat di Singapura, yang menemukan ancaman ini pada Mei 2024, mengungkapkan bahwa malware ini disebarkan melalui jaringan saluran Telegram yang dibentuk oleh aktor ancaman di bawah kedok aplikasi yang tampak sah terkait perbankan, sistem pembayaran, layanan pemerintah, atau utilitas sehari-hari.

"Pelaku memiliki jaringan afiliasi yang termotivasi oleh keuntungan finansial, menyebarkan malware perbankan Android yang menargetkan pengguna biasa," kata para peneliti keamanan Boris Martynyuk, Pavel Naumov, dan Anvar Anarkulov.

Sasaran dari kampanye yang sedang berlangsung mencakup negara-negara seperti Armenia, Azerbaijan, Islandia, Kazakhstan, Kyrgyzstan, Pakistan, Rusia, Tajikistan, Ukraina, dan Uzbekistan.

Terdapat bukti yang menunjukkan bahwa beberapa aspek dari proses distribusi malware berbasis Telegram mungkin telah diotomatiskan untuk meningkatkan efisiensi. Banyak akun Telegram dirancang untuk menyajikan pesan yang disusun dengan tautan baik ke saluran Telegram lain atau sumber eksternal dan berkas APK kepada target yang tidak curiga.

Penggunaan tautan yang mengarah ke saluran Telegram yang menyimpan berkas jahat memiliki keuntungan tambahan, yaitu dapat melewati tindakan keamanan dan tindakan yang diterapkan oleh banyak diskusi komunitas, sehingga memungkinkan akun-akun tersebut untuk menghindari larangan ketika moderasi otomatis diaktifkan.

Selain menyalahgunakan kepercayaan yang diberikan pengguna terhadap layanan sah untuk memaksimalkan tingkat infeksi, modus operandi ini juga melibatkan berbagi berkas jahat dalam pesan lokal di Telegram dengan menyamar sebagai undian dan promosi yang menjanjikan menawarkan hadiah menguntungkan serta akses eksklusif ke layanan.

“Penggunaan pesan bertema dan strategi promosi terlokalisasi terbukti sangat efektif dalam diskusi komunitas regional,” kata para peneliti. “Dengan menyesuaikan pendekatan mereka terhadap minat dan kebutuhan populasi lokal, Ajina berhasil meningkatkan kemungkinan infeksi yang sukses secara signifikan.”

Para aktor ancaman juga telah mengamati dan membanjiri saluran Telegram dengan beberapa pesan menggunakan banyak akun, terkadang secara bersamaan, yang menunjukkan upaya terkoordinasi yang kemungkinan besar menggunakan semacam alat distribusi otomatis.

Malware itu sendiri cukup sederhana, yakni setelah terinstal, malware ini menghubungi server jarak jauh dan meminta korban untuk memberikan izin untuk mengakses pesan SMS, API nomor telepon, dan informasi jaringan seluler saat ini, di antara lainnya.

Ajina.Banker mampu mengumpulkan informasi kartu SIM, daftar aplikasi finansial yang terinstal, dan pesan SMS, yang kemudian di eksfiltrasi ke server.

Versi baru malware ini juga dirancang untuk menyajikan halaman phishing dalam upaya mengumpulkan informasi perbankan. Selanjutnya, malware ini dapat mengakses log panggilan dan kontak, serta menyalahgunakan API layanan aksesibilitas Android untuk mencegah pencopotan pemasangan dan memberikan izin tambahan kepada dirinya sendiri.

Google melaporkan kepada The Hacker News bahwa tidak ada bukti yang menunjukkan bahwa malware ini disebarkan melalui Google Play Store, dan bahwa pengguna Android dilindungi dari ancaman ini oleh Google Play Protect, yang aktif secara default di perangkat Android yang menggunakan Layanan Google Play.

"Perekrutan pengembang Java dan pembuatan bot Telegram dengan kesepakatan untuk menghasilkan uang juga menunjukkan bahwa alat ini sedang dalam pengembangan aktif dan didukung oleh jaringan karyawan afiliasi," kata para peneliti.

"Analisis terhadap nama berkas, metode distribusi contoh, dan aktivitas lain dari para penyerang menunjukkan adanya kedekatan budaya dengan wilayah di mana mereka beroperasi."

Pemaparan ini datang bersamaan dengan ditemukannya hubungan antara dua keluarga malware Android yang dilacak sebagai SpyNote dan Gigabud.

"Domain dengan struktur yang sangat mirip dan target yang digunakan untuk menyebarkan contoh Gigabud juga digunakan untuk mendistribusikan contoh SpyNote," kata perusahaan tersebut. "Tumpang tindih dalam distribusi ini menunjukkan bahwa pelaku ancaman yang sama kemungkinan besar berada di balik kedua keluarga malware, yang mengarah pada kampanye yang terkoordinasi dan luas."