BingoMod バンキング型トロイの木馬が Android デバイスに侵入してデータを盗む可能性
サイバーセキュリティの専門家は、BingoMod という新しい Android リモート アクセス トロイの木馬 (RAT) を特定しました。この高度なマルウェアは、侵入したデバイスから不正な送金を行うだけでなく、デバイスを消去して活動の痕跡を消そうとします。2024 年 5 月下旬に BingoMod を発見したイタリアのサイバーセキュリティ企業 Cleafy は、このマルウェアが現在も活発に開発中であることを明らかにしました。ソースコードにルーマニア語のコメントがあることから、ルーマニア語を話す脅威アクターが背後にいることが示唆されます。
Table of Contents
最新のRAT機能
BingoMod は、モバイル マルウェアの最新 RAT 世代の一部であり、脅威アクターがデバイス内詐欺 (ODF) 技術を使用して、感染したデバイスから直接アカウント乗っ取り (ATO) を実行できるリモート アクセス機能を備えています。この技術は、Medusa (別名 TangleBot)、Copybara、TeaBot (別名 Anatsa) などの他の Android バンキング型トロイの木馬でも確認されています。
自己破壊メカニズム
BRATA マルウェアと同様に、BingoMod は不正な転送の証拠を消去することでフォレンジック分析を妨害するように設計された自己破壊メカニズムを特徴としています。この機能は現在デバイスの外部ストレージのみを対象としていますが、リモート アクセス機能によって完全な工場出荷時設定へのリセットが可能になるのではないかとの疑惑があります。
戦術とテクニック
このマルウェアは、ウイルス対策ツールや Google Chrome のアップデートを装い、スミッシング手法でインストールされることが多く、ユーザーにアクセシビリティ サービスの許可を促します。許可されると、BingoMod はペイロードを実行し、ユーザーをメイン画面から締め出し、デバイス情報を攻撃者が管理するサーバーに流出させます。また、アクセシビリティ サービス API を悪用して、認証情報や銀行口座の残高など、画面に表示される機密情報を盗み、SMS メッセージを傍受します。
リアルタイムの不正行為の検出
BingoMod は送金を実行するために、コマンド アンド コントロール (C2) インフラストラクチャとのソケットベースの接続を確立し、リモートで最大 40 個のコマンドを受信します。これらのコマンドにより、マルウェアは Android のメディア プロジェクション API を使用してスクリーンショットを撮り、デバイスとリアルタイムでやり取りできるようになります。大規模な金融詐欺を実行する自動送金システム (ATS) とは異なり、BingoMod が使用する ODF 手法では、ライブ オペレーターが関与して、1 回の取引あたり最大 15,000 ユーロ (約 16,100 ドル) の送金を実行します。
回避技術とフィッシング機能
BingoMod の背後にいる脅威アクターは、コードの難読化や、侵害されたデバイスから任意のアプリをアンインストールする機能など、さまざまな回避手法を採用しており、高度な機能よりもシンプルさを優先していることがわかります。さらに、BingoMod はオーバーレイ攻撃や偽の通知を通じてフィッシング機能を発揮します。特定のターゲット アプリが開かれたときにトリガーされる従来のオーバーレイ攻撃とは異なり、BingoMod のオーバーレイ攻撃はマルウェア オペレーターによって直接開始されます。
要約すると、BingoMod は高度なリモート アクセス機能と洗練された回避および自己破壊メカニズムを組み合わせた Android RAT の大きな進化を表しています。サイバー セキュリティ研究者が開発を監視し続ける中、ユーザーは警戒を怠らず、信頼できるソースからのみアプリをダウンロードし、デバイスのセキュリティ設定を定期的に更新して、このような脅威から保護することが重要です。
