El troyano bancario BingoMod podría infiltrarse en dispositivos Android para robar datos
Los expertos en ciberseguridad han identificado un nuevo troyano de acceso remoto (RAT) para Android llamado BingoMod. Este sofisticado malware no sólo organiza transferencias de dinero fraudulentas desde dispositivos comprometidos, sino que también intenta borrarlos, borrando rastros de sus actividades. La empresa italiana de ciberseguridad Cleafy, que descubrió BingoMod a finales de mayo de 2024, reveló que el malware aún está en desarrollo activo. La presencia de comentarios en rumano en el código fuente sugiere que detrás de esto hay un actor de amenazas de habla rumana.
Table of Contents
Capacidades RAT modernas
BingoMod es parte de la generación moderna de malware móvil RAT, con capacidades de acceso remoto que permiten a los actores de amenazas llevar a cabo la apropiación de cuentas (ATO) directamente desde dispositivos infectados, empleando la técnica de fraude en el dispositivo (ODF). Esta técnica también se ha visto en otros troyanos bancarios de Android como Medusa (también conocido como TangleBot), Copybara y TeaBot (también conocido como Anatsa).
Mecanismo de autodestrucción
Al igual que el malware BRATA, BingoMod se distingue por un mecanismo de autodestrucción diseñado para obstaculizar el análisis forense al borrar la evidencia de transferencias fraudulentas. Aunque esta funcionalidad actualmente está dirigida únicamente al almacenamiento externo del dispositivo, existen sospechas de que sus funciones de acceso remoto podrían facilitar un restablecimiento completo de fábrica.
Tácticas y técnicas
El malware se hace pasar por herramientas antivirus o actualizaciones para Google Chrome y, a menudo, se instala mediante tácticas de smishing, lo que solicita a los usuarios que le otorguen permisos de servicios de accesibilidad. Una vez otorgado, BingoMod ejecuta su carga útil, bloquea al usuario fuera de la pantalla principal y filtra información del dispositivo a un servidor controlado por el atacante. También explota la API de servicios de accesibilidad para robar información confidencial que se muestra en la pantalla, como credenciales y saldos de cuentas bancarias, e intercepta mensajes SMS.
Ejecución de fraude en tiempo real
Para ejecutar transferencias de dinero, BingoMod establece una conexión basada en socket con su infraestructura de comando y control (C2), recibiendo hasta 40 comandos de forma remota. Estos comandos permiten que el malware tome capturas de pantalla utilizando la API Media Projection de Android e interactúe con el dispositivo en tiempo real. A diferencia de los sistemas de transferencias automatizadas (ATS) que realizan fraudes financieros a escala, la técnica ODF utilizada por BingoMod se basa en un operador en vivo para realizar transferencias de dinero de hasta 15.000 euros (~16.100 dólares) por transacción.
Técnicas de evasión y capacidades de phishing
El actor de amenazas detrás de BingoMod emplea varias técnicas de evasión, incluida la ofuscación de código y la capacidad de desinstalar aplicaciones arbitrarias de dispositivos comprometidos, lo que indica una preferencia por la simplicidad sobre las funciones avanzadas. Además, BingoMod demuestra capacidades de phishing mediante ataques de superposición y notificaciones falsas. A diferencia de los ataques de superposición tradicionales que se activan cuando se abren aplicaciones de destino específicas, los ataques de superposición de BingoMod los inicia directamente el operador de malware.
En resumen, BingoMod representa una evolución significativa en las RAT de Android, combinando capacidades avanzadas de acceso remoto con sofisticados mecanismos de evasión y autodestrucción. A medida que los investigadores de ciberseguridad continúan monitoreando su desarrollo, es crucial que los usuarios permanezcan atentos y cautelosos, asegurándose de descargar solo aplicaciones de fuentes confiables y actualizar periódicamente la configuración de seguridad de sus dispositivos para protegerse contra tales amenazas.
