Il trojan bancario BingoMod potrebbe infiltrarsi nei dispositivi Android per rubare dati
Gli esperti di sicurezza informatica hanno identificato un nuovo trojan di accesso remoto Android (RAT) denominato BingoMod. Questo sofisticato malware non solo orchestra trasferimenti di denaro fraudolenti da dispositivi compromessi, ma tenta anche di cancellarli, cancellando le tracce delle sue attività. La società italiana di sicurezza informatica Cleafy, che ha scoperto BingoMod alla fine di maggio 2024, ha rivelato che il malware è ancora in fase di sviluppo attivo. La presenza di commenti in lingua rumena nel codice sorgente suggerisce che dietro a tutto ciò si nasconde un autore di minacce di lingua rumena.
Table of Contents
Funzionalità moderne del RAT
BingoMod fa parte della moderna generazione RAT di malware mobile, con funzionalità di accesso remoto che consentono agli autori delle minacce di effettuare Account Takeover (ATO) direttamente dai dispositivi infetti, utilizzando la tecnica di frode su dispositivo (ODF). Questa tecnica è stata osservata anche in altri trojan bancari Android come Medusa (noto anche come TangleBot), Copybara e TeaBot (noto anche come Anatsa).
Meccanismo di autodistruzione
Proprio come il malware BRATA, BingoMod si distingue per un meccanismo di autodistruzione progettato per ostacolare l'analisi forense cancellando le prove di trasferimenti fraudolenti. Sebbene questa funzionalità attualmente sia rivolta solo alla memoria esterna del dispositivo, si sospetta che le sue funzionalità di accesso remoto possano facilitare un ripristino completo delle impostazioni di fabbrica.
Tattiche e tecniche
Il malware si maschera da strumenti antivirus o aggiornamenti per Google Chrome e viene spesso installato tramite tattiche di smishing, spingendo gli utenti a concedergli le autorizzazioni per i servizi di accessibilità. Una volta concesso, BingoMod esegue il suo payload, blocca l'utente fuori dalla schermata principale ed estrae le informazioni del dispositivo su un server controllato dall'aggressore. Sfrutta inoltre le API dei servizi di accessibilità per rubare informazioni sensibili visualizzate sullo schermo, come credenziali e saldi dei conti bancari, e intercetta i messaggi SMS.
Esecuzione di frodi in tempo reale
Per eseguire trasferimenti di denaro, BingoMod stabilisce una connessione basata su socket con la sua infrastruttura di comando e controllo (C2), ricevendo fino a 40 comandi da remoto. Questi comandi consentono al malware di acquisire screenshot utilizzando l'API Media Projection di Android e di interagire con il dispositivo in tempo reale. A differenza dei sistemi di trasferimento automatizzati (ATS) che conducono frodi finanziarie su larga scala, la tecnica ODF utilizzata da BingoMod si basa su un operatore dal vivo per eseguire trasferimenti di denaro fino a 15.000 € (~ $ 16.100) per transazione.
Tecniche di evasione e capacità di phishing
L'autore della minaccia dietro BingoMod utilizza varie tecniche di evasione, tra cui l'offuscamento del codice e la capacità di disinstallare app arbitrarie da dispositivi compromessi, indicando una preferenza per la semplicità rispetto alle funzionalità avanzate. Inoltre, BingoMod dimostra capacità di phishing attraverso attacchi overlay e notifiche false. A differenza degli attacchi overlay tradizionali che vengono attivati quando vengono aperte app target specifiche, gli attacchi overlay di BingoMod vengono avviati direttamente dall'operatore del malware.
In sintesi, BingoMod rappresenta un'evoluzione significativa nei RAT Android, combinando funzionalità avanzate di accesso remoto con sofisticati meccanismi di evasione e autodistruzione. Poiché i ricercatori sulla sicurezza informatica continuano a monitorarne lo sviluppo, è fondamentale che gli utenti rimangano vigili e cauti, assicurandosi di scaricare solo app da fonti attendibili e di aggiornare regolarmente le impostazioni di sicurezza del dispositivo per proteggersi da tali minacce.
