A BingoMod Banking trójai behatolhat az Android-eszközökbe, hogy adatokat lopjon
A kiberbiztonsági szakértők egy új Android távoli hozzáférésű trójai programot (RAT) azonosítottak, a BingoMod nevet. Ez a kifinomult rosszindulatú program nemcsak megszervezi a csalárd pénzátutalásokat a feltört eszközökről, hanem megpróbálja eltörölni azokat, eltüntetve tevékenységének nyomait. Az olasz Cleafy kiberbiztonsági cég, amely 2024 májusának végén fedezte fel a BingoModot, felfedte, hogy a rosszindulatú program még mindig aktív fejlesztés alatt áll. A román nyelvű megjegyzések jelenléte a forráskódban arra utal, hogy románul beszélő fenyegetés áll a háttérben.
Table of Contents
Modern RAT képességek
A BingoMod a mobil rosszindulatú programok modern RAT generációjának része, olyan távoli hozzáférési képességekkel, amelyek lehetővé teszik a fenyegetett szereplők számára, hogy közvetlenül a fertőzött eszközökről fiókfelvételt (ATO) hajtsanak végre, az eszközön belüli csalási (ODF) technikát alkalmazva. Ezt a technikát más Android banki trójaikban is látták, mint például a Medusa (más néven TangleBot), a Copybara és a TeaBot (más néven Anatsa).
Önpusztító mechanizmus
A BRATA rosszindulatú programhoz hasonlóan a BingoMod is egy önmegsemmisítő mechanizmussal tűnik ki, amelynek célja, hogy megakadályozza a törvényszéki elemzést azáltal, hogy eltörli a csalárd átvitelek bizonyítékait. Bár ez a funkció jelenleg csak az eszköz külső tárolóját célozza meg, felmerül a gyanú, hogy a távoli hozzáférési funkciói megkönnyíthetik a teljes gyári beállítások visszaállítását.
Taktikák és technikák
A rosszindulatú program víruskereső eszköznek vagy Google Chrome-frissítésnek álcázza magát, és gyakran összecsapásos taktikával telepítik, ami arra készteti a felhasználókat, hogy adjanak hozzá kisegítő lehetőségeket. Az engedélyezést követően a BingoMod végrehajtja a hasznos terhelést, kizárja a felhasználót a főképernyőről, és kiszivárogtatja az eszköz adatait egy támadó által vezérelt szerverre. Kihasználja az akadálymentesítési szolgáltatások API-ját a képernyőn megjelenő érzékeny információk, például a hitelesítő adatok és a bankszámlaegyenlegek ellopására, valamint az SMS-üzenetek lehallgatására.
Valós idejű csalás végrehajtás
A pénzátutalások végrehajtásához a BingoMod socket alapú kapcsolatot létesít a parancs- és vezérlési (C2) infrastruktúrájával, amely akár 40 parancsot is fogad távolról. Ezek a parancsok lehetővé teszik a rosszindulatú program számára, hogy képernyőképeket készítsen az Android Media Projection API-jával, és valós időben kommunikáljon az eszközzel. Ellentétben az automatizált átutalási rendszerekkel (ATS), amelyek nagyarányú pénzügyi csalást hajtanak végre, a BingoMod által használt ODF-technika egy élő operátorra támaszkodik, hogy tranzakciónként akár 15 000 € (~16 100 USD) pénzátutalást hajtson végre.
Kijátszási technikák és adathalászati lehetőségek
A BingoMod mögött álló fenyegetések szereplője különféle kijátszási technikákat alkalmaz, beleértve a kódzavarást és a tetszőleges alkalmazások eltávolításának lehetőségét a feltört eszközökről, ami azt jelzi, hogy az egyszerűséget részesíti előnyben a fejlett funkciókkal szemben. Ezenkívül a BingoMod átfedési támadásokkal és hamis értesítésekkel demonstrálja az adathalász képességeket. A hagyományos átfedő támadásokkal ellentétben, amelyek meghatározott célalkalmazások megnyitásakor indulnak el, a BingoMod átfedő támadásait közvetlenül a rosszindulatú program kezelője kezdeményezi.
Összefoglalva, a BingoMod jelentős fejlődést jelent az Android RAT-ok terén, a fejlett távoli hozzáférési lehetőségeket kifinomult kijátszási és önmegsemmisítő mechanizmusokkal kombinálva. Mivel a kiberbiztonsági kutatók továbbra is figyelemmel kísérik a fejlesztést, kulcsfontosságú, hogy a felhasználók éberek és óvatosak maradjanak, biztosítva, hogy csak megbízható forrásból töltsenek le alkalmazásokat, és rendszeresen frissítsék eszközeik biztonsági beállításait az ilyen fenyegetések elleni védelem érdekében.
