Ajina.Bankerは2023年11月から続いている脅威キャンペーンで使用されているマルウェアです。
これはAndroid環境をターゲットとしたバンキング型トロイの木馬です。
- 入口
この脅威キャンペーンでは、入口はTelegramの地域コミュニティチャットです。
Telegramは、その暗号化機能やAPI機能の効能を期待してサイバー犯罪者やテロ組織の温床になっています。
エンドツーエンドの暗号化となっていないなどの指摘が出るなどしていますが、通信の秘匿性は高いと考えられます。 - 巧妙なストーリー
配布場所が地域コミュニティチャットとなっていることには理由がありそうです。
そこに集まる人物像を想定することが容易となり、そこにいる人を引き付けることのできる話題をくみ上げることができるようになります。
現地の言語で書き込まれるメッセージは緊急感と興奮感を醸し出すように設計されており、悪意を疑うことなく、ユーザーがリンクをクリックしたりファイルをダウンロードしたりするように促します。
マルウェアにつながるものとなっていますが、扇動など、ほかの利用にも繋ぐことができそうなクオリティです。 - Ajinaの配布物の内容
最近よくみられるマルウェアの入った配布物の構造は、巧妙に隠されたマルウェアを含むファイルと、それを開かせようとするREADME的な役割を持つファイルの両方を含むアーカイブの形式となっています。
しかし、Ajinaは異なります。
テキストを一切含まない悪意のあるファイルのみを含むものとなっています。
説明のないファイルを好奇心で開いてしまうユーザーを想定して展開されているキャンペーンに思えます。 - 配布場所
ターゲットとなるユーザを誘い込む場所にはTelegramのチャットが使用されますが、実際にマルウェアを置いておく場所は、そのTelegramのチャットではありません。
外部のチャネルにファイルを置いて、それを入手させるような仕組みになっています。
外部チャネルにはウェブサイトが使われます。 - Ajina.Banker.A
Ajina.Bankerには、その配布時期により、いくつかの亜種が確認されています。
最初のころの時期に観測された検体はAjina.Banker.Aと呼ばれます。
これはJavaで作成されたトロイの木馬です。
起動し権限をユーザに許可されると情報を収集し外部に送信します。 - Ajina.Banker.B
これもトロイの木馬です。
内容はAjina.Banker.Aとほとんど違いませんが、Javaのソースコードのクラス階層が変更されています。
Ajina.Banker.Aの取得する情報に加えて、さらに多くの情報を持ち出します。
Aになかった機能としては、アンインストールの防止、アクセシビリティサービスによる権限の付与、などが追加されています。
SIMカード情報、インストールされている金融アプリのリスト、SMSメッセージを収集し、それらをサーバーに流出させることができます。
この脅威キャンペーンは、少人数の犯罪者によるものではありません。
Ajina.Bankerは多くのアフィリエイトを引き付け、同時にいくつもの場所で感染を誘う活動が展開されています。
怪しさの少ない流れで入手したファイルが怪しいものではないとは限らない、ということなのでしょうね。
気を付けたいと思います。
Ajina attacks Central Asia: Story of an Uzbek Android Pandemic
https://www.group-ib.com/blog/ajina-malware/
| この記事をシェア |
|
|---|
