Il malware Ajina, scoperto dalla società di cybersecurity Group-IB, rappresenta una minaccia emergente e significativa per i dispositivi Android, in particolare per gli utenti dell’Asia centrale.
“Ajina è uno spirito mitologico del folklore uzbeko, spesso raffigurato come un’entità malevola che incarna caos e malizia. Secondo le leggende locali, questo spirito è noto per la sua capacità di cambiare forma e ingannare gli umani, portandoli fuori strada o causando loro danni.”, spiega Boris Martynyuk Cyber Threat Intelligence Analyst, “Abbiamo scelto il nome Ajina per questa campagna malware perché, proprio come lo spirito mitologico, il malware inganna gli utenti mascherandosi da applicazioni legittime, conducendoli in una trappola che compromette i loro dispositivi e causa danni significativi.“
Caratteristiche
Ajina è stato rilevato per la prima volta alla fine del 2023 e si distingue per la sua capacità di rubare informazioni finanziarie e intercettare i codici di autenticazione a due fattori (2FA) inviati tramite SMS. Questo permette agli attaccanti di ottenere pieno accesso ai conti bancari delle vittime.
Il malware si diffonde principalmente attraverso app dannose mascherate da app legittime, spesso distribuite tramite canali Telegram. Gli attaccanti utilizzano messaggi localizzati e promozioni per rendere il malware più attraente e affidabile per le potenziali vittime. I paesi maggiormente colpiti includono Armenia, Azerbaigian, Islanda, Kazakistan, Kirghizistan, Pakistan, Russia, Tagikistan, Ucraina e Uzbekistan.
Funzionamento
Una volta installato, Ajina richiede permessi per accedere ai messaggi SMS, alle informazioni della rete cellulare e ai dettagli della SIM. Questo gli consente di rubare informazioni finanziarie e raccogliere dati dalle app finanziarie installate, inviandoli a un server di comando e controllo remoto. Inoltre, il malware utilizza pagine di phishing per raccogliere credenziali bancarie sensibili e abusa dei servizi di accessibilità di Android per impedire la disinstallazione e ottenere permessi elevati. Ajina è particolarmente pericoloso perché può bypassare l’autenticazione a due fattori (2FA) intercettando i messaggi SMS. Questo compromette una delle misure di sicurezza più comuni utilizzate per proteggere i conti bancari online.
Un malware in evoluzione
Il malware sembra essere in continuo sviluppo, con gli attaccanti che assumono programmatori Java e costruiscono strumenti per automatizzare la diffusione e la gestione del malware. Questo suggerisce che Ajina potrebbe diventare ancora più sofisticato e diffuso in futuro.
Per proteggersi da Ajina e da minacce simili, si consiglia di:
- Utilizzare soluzioni di sicurezza affidabili per proteggere i dispositivi Android da malware.
- Scaricare app solo dal Google Play Store e non da canali Telegram o siti web non affidabili.
- Abilitare Google Play Protect. Questo servizio scansiona automaticamente il dispositivo alla ricerca di app dannose.
- Preferire metodi di autenticazione che non si basano esclusivamente su SMS per la 2FA.