BingoMod Banking Trojan kunne infiltrere Android-enheder for at stjæle data
Cybersikkerhedseksperter har identificeret en ny Android remote access trojan (RAT) ved navn BingoMod. Denne sofistikerede malware orkestrerer ikke kun svigagtige pengeoverførsler fra kompromitterede enheder, men forsøger også at slette dem og sletter spor af dens aktiviteter. Det italienske cybersikkerhedsfirma Cleafy, som opdagede BingoMod i slutningen af maj 2024, afslørede, at malwaren stadig er under aktiv udvikling. Tilstedeværelsen af rumænske kommentarer i kildekoden tyder på, at en rumænsktalende trusselsaktør står bag.
Table of Contents
Moderne RAT-egenskaber
BingoMod er en del af den moderne RAT-generation af mobil malware, med fjernadgangsfunktioner, der gør det muligt for trusselsaktører at udføre Account Takeover (ATO) direkte fra inficerede enheder ved at anvende ODF-teknikken (on-device fraud). Denne teknik er også blevet set i andre Android-banktrojanere, såsom Medusa (også kendt som TangleBot), Copybara og TeaBot (også kendt som Anatsa).
Selvdestruktionsmekanisme
Ligesom BRATA-malwaren, udmærker BingoMod sig med en selvdestruktionsmekanisme designet til at forhindre retsmedicinske analyser ved at slette beviser for svigagtige overførsler. Selvom denne funktionalitet i øjeblikket kun er rettet mod enhedens eksterne lager, er der mistanke om, at dens fjernadgangsfunktioner kan lette en fuldstændig fabriksnulstilling.
Taktik og teknikker
Malwaren udgiver sig som antivirusværktøjer eller opdateringer til Google Chrome og installeres ofte gennem smishing-taktik, hvilket beder brugerne om at give den adgangstjenesters tilladelser. Når først det er givet, udfører BingoMod sin nyttelast, låser brugeren ude af hovedskærmen og eksfiltrerer enhedsinformation til en angriberstyret server. Det udnytter også tilgængelighedstjenesters API til at stjæle følsomme oplysninger, der vises på skærmen, såsom legitimationsoplysninger og bankkontosaldi, og opsnapper SMS-beskeder.
Udførelse af svindel i realtid
For at udføre pengeoverførsler etablerer BingoMod en socket-baseret forbindelse med sin kommando-og-kontrol (C2) infrastruktur, der modtager op til 40 kommandoer eksternt. Disse kommandoer gør det muligt for malwaren at tage skærmbilleder ved hjælp af Androids Media Projection API og interagere med enheden i realtid. I modsætning til automatiserede overførselssystemer (ATS), der udfører økonomisk svindel i stor skala, er ODF-teknikken, der bruges af BingoMod, afhængig af en live-operatør til at udføre pengeoverførsler på op til €15.000 (~$16.100) pr. transaktion.
Undvigelsesteknikker og phishing-egenskaber
Trusselsaktøren bag BingoMod anvender forskellige undvigelsesteknikker, herunder kodeforvirring og evnen til at afinstallere vilkårlige apps fra kompromitterede enheder, hvilket indikerer en præference for enkelhed frem for avancerede funktioner. Derudover demonstrerer BingoMod phishing-egenskaber gennem overlejringsangreb og falske notifikationer. I modsætning til traditionelle overlejringsangreb, der udløses, når specifikke målapps åbnes, initieres BingoMods overlejringsangreb direkte af malware-operatøren.
Sammenfattende repræsenterer BingoMod en betydelig udvikling inden for Android RAT'er, der kombinerer avancerede fjernadgangsfunktioner med sofistikerede undvigelses- og selvdestruktionsmekanismer. Da cybersikkerhedsforskere fortsætter med at overvåge dens udvikling, er det afgørende for brugerne at forblive årvågne og forsigtige og sikre, at de kun downloader apps fra pålidelige kilder og regelmæssigt opdaterer deres enhedssikkerhedsindstillinger for at beskytte mod sådanne trusler.
