Το BingoMod Banking Trojan θα μπορούσε να διεισδύσει σε συσκευές Android για να κλέψει δεδομένα

Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο trojan απομακρυσμένης πρόσβασης Android (RAT) που ονομάζεται BingoMod. Αυτό το εξελιγμένο κακόβουλο λογισμικό όχι μόνο ενορχηστρώνει δόλιες μεταφορές χρημάτων από παραβιασμένες συσκευές, αλλά προσπαθεί επίσης να τις σκουπίσει, διαγράφοντας τα ίχνη των δραστηριοτήτων του. Η ιταλική εταιρεία κυβερνοασφάλειας Cleafy, η οποία ανακάλυψε το BingoMod στα τέλη Μαΐου 2024, αποκάλυψε ότι το κακόβουλο λογισμικό βρίσκεται ακόμα υπό ενεργό ανάπτυξη. Η παρουσία σχολίων στη ρουμανική γλώσσα στον πηγαίο κώδικα υποδηλώνει ότι ένας παράγοντας απειλής που μιλάει Ρουμάνα βρίσκεται πίσω από αυτό.

Σύγχρονες δυνατότητες RAT

Το BingoMod είναι μέρος της σύγχρονης γενιάς RAT κακόβουλου λογισμικού για κινητά, με δυνατότητες απομακρυσμένης πρόσβασης που επιτρέπουν στους φορείς απειλών να πραγματοποιούν Εξαγορά Λογαριασμού (ATO) απευθείας από μολυσμένες συσκευές, χρησιμοποιώντας την τεχνική απάτης στη συσκευή (ODF). Αυτή η τεχνική έχει επίσης παρατηρηθεί σε άλλα τραπεζικά trojan Android όπως το Medusa (γνωστό επίσης ως TangleBot), το Copybara και το TeaBot (επίσης γνωστό ως Anatsa).

Μηχανισμός Αυτοκαταστροφής

Όπως και το κακόβουλο λογισμικό BRATA, το BingoMod διακρίνεται με έναν μηχανισμό αυτοκαταστροφής που έχει σχεδιαστεί για να εμποδίζει την εγκληματολογική ανάλυση εξαλείφοντας στοιχεία για δόλιες μεταφορές. Αν και αυτή η λειτουργία στοχεύει προς το παρόν μόνο τον εξωτερικό χώρο αποθήκευσης της συσκευής, υπάρχουν υποψίες ότι οι λειτουργίες απομακρυσμένης πρόσβασης θα μπορούσαν να διευκολύνουν την πλήρη επαναφορά εργοστασιακών ρυθμίσεων.

Τακτικές και Τεχνικές

Το κακόβουλο λογισμικό μεταμφιέζεται ως εργαλεία προστασίας από ιούς ή ενημερώσεις για το Google Chrome και συχνά εγκαθίσταται μέσω τακτικών σπασμωδικής ενέργειας, προτρέποντας τους χρήστες να του παραχωρήσουν άδειες υπηρεσιών προσβασιμότητας. Μόλις χορηγηθεί, το BingoMod εκτελεί το ωφέλιμο φορτίο του, κλειδώνει τον χρήστη έξω από την κύρια οθόνη και διεγείρει τις πληροφορίες της συσκευής σε έναν διακομιστή που ελέγχεται από τους εισβολείς. Επίσης, εκμεταλλεύεται το API υπηρεσιών προσβασιμότητας για να κλέψει ευαίσθητες πληροφορίες που εμφανίζονται στην οθόνη, όπως διαπιστευτήρια και υπόλοιπα τραπεζικών λογαριασμών, και υποκλοπή μηνυμάτων SMS.

Εκτέλεση απάτης σε πραγματικό χρόνο

Για την εκτέλεση μεταφορών χρημάτων, το BingoMod δημιουργεί μια σύνδεση βασισμένη σε πρίζα με την υποδομή εντολών και ελέγχου (C2), λαμβάνοντας έως και 40 εντολές εξ αποστάσεως. Αυτές οι εντολές επιτρέπουν στο κακόβουλο λογισμικό να τραβήξει στιγμιότυπα οθόνης χρησιμοποιώντας το API Media Projection του Android και να αλληλεπιδράσει με τη συσκευή σε πραγματικό χρόνο. Σε αντίθεση με τα αυτοματοποιημένα συστήματα μεταφοράς (ATS) που διεξάγουν χρηματοοικονομική απάτη σε κλίμακα, η τεχνική ODF που χρησιμοποιείται από το BingoMod βασίζεται σε έναν ζωντανό χειριστή για την εκτέλεση μεταφορών χρημάτων έως και 15.000 € (~16.100 $) ανά συναλλαγή.

Τεχνικές Αποφυγής και Δυνατότητες Phishing

Ο παράγοντας απειλής πίσω από το BingoMod χρησιμοποιεί διάφορες τεχνικές αποφυγής, συμπεριλαμβανομένης της συσκότισης κώδικα και της δυνατότητας απεγκατάστασης αυθαίρετων εφαρμογών από παραβιασμένες συσκευές, υποδεικνύοντας ότι προτιμά την απλότητα έναντι των προηγμένων λειτουργιών. Επιπλέον, το BingoMod επιδεικνύει δυνατότητες phishing μέσω επιθέσεων επικάλυψης και ψεύτικων ειδοποιήσεων. Σε αντίθεση με τις παραδοσιακές επιθέσεις επικάλυψης που ενεργοποιούνται όταν ανοίγουν συγκεκριμένες εφαρμογές στόχου, οι επιθέσεις επικάλυψης του BingoMod ξεκινούν απευθείας από τον χειριστή κακόβουλου λογισμικού.

Συνοπτικά, το BingoMod αντιπροσωπεύει μια σημαντική εξέλιξη στα Android RAT, συνδυάζοντας προηγμένες δυνατότητες απομακρυσμένης πρόσβασης με εξελιγμένους μηχανισμούς φοροδιαφυγής και αυτοκαταστροφής. Καθώς οι ερευνητές της κυβερνοασφάλειας συνεχίζουν να παρακολουθούν την ανάπτυξή της, είναι σημαντικό για τους χρήστες να παραμείνουν προσεκτικοί και προσεκτικοί, διασφαλίζοντας ότι κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και ενημερώνουν τακτικά τις ρυθμίσεις ασφαλείας της συσκευής τους για προστασία από τέτοιες απειλές.