BingoMod Banking-Trojaner könnte Android-Geräte infiltrieren, um Daten zu stehlen

Cybersicherheitsexperten haben einen neuen Android-Remote-Access-Trojaner (RAT) namens BingoMod identifiziert. Diese hochentwickelte Malware orchestriert nicht nur betrügerische Geldtransfers von kompromittierten Geräten, sondern versucht auch, diese zu löschen und so Spuren ihrer Aktivitäten zu verwischen. Das italienische Cybersicherheitsunternehmen Cleafy, das BingoMod Ende Mai 2024 entdeckte, gab bekannt, dass sich die Malware noch in der aktiven Entwicklung befindet. Das Vorhandensein rumänischer Kommentare im Quellcode lässt darauf schließen, dass ein rumänischsprachiger Bedrohungsakteur dahinter steckt.

Moderne RAT-Funktionen

BingoMod ist Teil der modernen RAT-Generation mobiler Malware mit Fernzugriffsfunktionen, die es Bedrohungsakteuren ermöglichen, Account Takeover (ATO) direkt von infizierten Geräten aus durchzuführen, indem sie die On-Device-Fraud-Technik (ODF) einsetzen. Diese Technik wurde auch bei anderen Android-Banking-Trojanern wie Medusa (auch bekannt als TangleBot), Copybara und TeaBot (auch bekannt als Anatsa) beobachtet.

Selbstzerstörungsmechanismus

Ähnlich wie die BRATA-Malware zeichnet sich BingoMod durch einen Selbstzerstörungsmechanismus aus, der forensische Analysen erschweren soll, indem er Beweise für betrügerische Überweisungen löscht. Obwohl diese Funktion derzeit nur auf den externen Speicher des Geräts abzielt, besteht der Verdacht, dass seine Fernzugriffsfunktionen einen vollständigen Werksreset ermöglichen könnten.

Taktiken und Techniken

Die Malware tarnt sich als Antiviren-Tool oder Update für Google Chrome und wird häufig durch Smishing-Taktiken installiert, wobei Benutzer aufgefordert werden, ihr Berechtigungen für Barrierefreiheitsdienste zu erteilen. Sobald diese erteilt wurden, führt BingoMod seine Payload aus, sperrt den Benutzer vom Hauptbildschirm aus und leitet Geräteinformationen an einen vom Angreifer kontrollierten Server weiter. Außerdem nutzt es die API der Barrierefreiheitsdienste, um vertrauliche Informationen zu stehlen, die auf dem Bildschirm angezeigt werden, wie z. B. Anmeldeinformationen und Bankkontostände, und fängt SMS-Nachrichten ab.

Betrugsbekämpfung in Echtzeit

Um Geldtransfers auszuführen, stellt BingoMod eine Socket-basierte Verbindung mit seiner Command-and-Control-Infrastruktur (C2) her und empfängt bis zu 40 Befehle aus der Ferne. Diese Befehle ermöglichen es der Malware, mithilfe der Media Projection API von Android Screenshots zu erstellen und in Echtzeit mit dem Gerät zu interagieren. Im Gegensatz zu automatisierten Überweisungssystemen (ATS), die Finanzbetrug in großem Maßstab begehen, verlässt sich die von BingoMod verwendete ODF-Technik auf einen Live-Betreiber, der Geldtransfers von bis zu 15.000 € (~16.100 $) pro Transaktion durchführt.

Umgehungstechniken und Phishing-Möglichkeiten

Der Bedrohungsakteur hinter BingoMod verwendet verschiedene Umgehungstechniken, darunter Code-Verschleierung und die Möglichkeit, beliebige Apps von kompromittierten Geräten zu deinstallieren, was darauf hindeutet, dass er Einfachheit gegenüber erweiterten Funktionen bevorzugt. Darüber hinaus demonstriert BingoMod Phishing-Fähigkeiten durch Overlay-Angriffe und gefälschte Benachrichtigungen. Im Gegensatz zu herkömmlichen Overlay-Angriffen, die ausgelöst werden, wenn bestimmte Ziel-Apps geöffnet werden, werden die Overlay-Angriffe von BingoMod direkt vom Malware-Betreiber initiiert.

Zusammenfassend stellt BingoMod eine bedeutende Weiterentwicklung von Android-RATs dar, da es erweiterte Fernzugriffsfunktionen mit ausgeklügelten Ausweich- und Selbstzerstörungsmechanismen kombiniert. Da Cybersicherheitsforscher die Entwicklung weiterhin beobachten, ist es für Benutzer von entscheidender Bedeutung, wachsam und vorsichtig zu bleiben, sicherzustellen, dass sie nur Apps aus vertrauenswürdigen Quellen herunterladen und die Sicherheitseinstellungen ihres Geräts regelmäßig aktualisieren, um sich vor solchen Bedrohungen zu schützen.