Le cheval de Troie bancaire BingoMod pourrait infiltrer les appareils Android pour voler des données
Les experts en cybersécurité ont identifié un nouveau cheval de Troie d'accès à distance (RAT) Android nommé BingoMod. Ce malware sophistiqué orchestre non seulement des transferts d’argent frauduleux à partir d’appareils compromis, mais tente également de les effacer, effaçant ainsi les traces de ses activités. La société italienne de cybersécurité Cleafy, qui a découvert BingoMod fin mai 2024, a révélé que le malware est toujours en développement actif. La présence de commentaires en roumain dans le code source suggère qu’un acteur menaçant parlant roumain est derrière tout cela.
Table of Contents
Capacités RAT modernes
BingoMod fait partie de la génération moderne RAT de logiciels malveillants mobiles, avec des capacités d'accès à distance qui permettent aux acteurs malveillants de procéder à une prise de contrôle de compte (ATO) directement à partir d'appareils infectés, en utilisant la technique de fraude sur appareil (ODF). Cette technique a également été observée dans d'autres chevaux de Troie bancaires Android tels que Medusa (également connu sous le nom de TangleBot), Copybara et TeaBot (également connu sous le nom d'Anatsa).
Mécanisme d'autodestruction
Tout comme le malware BRATA, BingoMod se distingue par un mécanisme d'autodestruction conçu pour entraver l'analyse médico-légale en effaçant les preuves de transferts frauduleux. Bien que cette fonctionnalité ne cible actuellement que le stockage externe de l'appareil, on soupçonne que ses fonctionnalités d'accès à distance pourraient faciliter une réinitialisation complète des paramètres d'usine.
Tactiques et techniques
Le malware se fait passer pour des outils antivirus ou des mises à jour pour Google Chrome et est souvent installé via des tactiques de smishing, invitant les utilisateurs à lui accorder des autorisations de services d'accessibilité. Une fois accordé, BingoMod exécute sa charge utile, verrouille l'utilisateur hors de l'écran principal et exfiltre les informations sur l'appareil vers un serveur contrôlé par un attaquant. Il exploite également l'API des services d'accessibilité pour voler des informations sensibles affichées à l'écran, telles que les informations d'identification et les soldes des comptes bancaires, et intercepte les messages SMS.
Exécution de la fraude en temps réel
Pour exécuter des transferts d'argent, BingoMod établit une connexion basée sur socket avec son infrastructure de commande et de contrôle (C2), recevant jusqu'à 40 commandes à distance. Ces commandes permettent au malware de prendre des captures d'écran à l'aide de l'API Media Projection d'Android et d'interagir avec l'appareil en temps réel. Contrairement aux systèmes de transfert automatisés (ATS) qui pratiquent la fraude financière à grande échelle, la technique ODF utilisée par BingoMod s'appuie sur un opérateur réel pour effectuer des transferts d'argent allant jusqu'à 15 000 € (~ 16 100 $) par transaction.
Techniques d’évasion et capacités de phishing
L'acteur malveillant derrière BingoMod utilise diverses techniques d'évasion, notamment l'obscurcissement du code et la possibilité de désinstaller des applications arbitraires des appareils compromis, indiquant une préférence pour la simplicité par rapport aux fonctionnalités avancées. De plus, BingoMod démontre des capacités de phishing via des attaques superposées et de fausses notifications. Contrairement aux attaques par superposition traditionnelles qui sont déclenchées lorsque des applications cibles spécifiques sont ouvertes, les attaques par superposition de BingoMod sont lancées directement par l'opérateur du logiciel malveillant.
En résumé, BingoMod représente une évolution significative des RAT Android, combinant des capacités avancées d'accès à distance avec des mécanismes sophistiqués d'évasion et d'autodestruction. Alors que les chercheurs en cybersécurité continuent de surveiller son évolution, il est essentiel que les utilisateurs restent vigilants et prudents, en s'assurant qu'ils téléchargent uniquement des applications provenant de sources fiables et qu'ils mettent régulièrement à jour les paramètres de sécurité de leur appareil pour se protéger contre de telles menaces.
