„BingoMod Banking“ Trojos arklys gali įsiskverbti į „Android“ įrenginius ir pavogti duomenis
Kibernetinio saugumo ekspertai nustatė naują Android nuotolinės prieigos Trojos arklys (RAT), pavadintas BingoMod. Ši sudėtinga kenkėjiška programa ne tik organizuoja nesąžiningus pinigų pervedimus iš pažeistų įrenginių, bet ir bando juos ištrinti, ištrindama savo veiklos pėdsakus. Italijos kibernetinio saugumo įmonė „Cleafy“, 2024 m. gegužės pabaigoje atradusi „BingoMod“, atskleidė, kad kenkėjiška programa vis dar aktyviai kuriama. Komentarai rumunų kalba šaltinio kode rodo, kad už to slypi rumuniškai kalbantis grėsmės veikėjas.
Table of Contents
Šiuolaikinės RAT galimybės
„BingoMod“ yra šiuolaikinės RAT kartos mobiliųjų kenkėjiškų programų dalis, turinti nuotolinės prieigos galimybes, kurios leidžia grėsmės subjektams atlikti paskyros perėmimą (ATO) tiesiai iš užkrėstų įrenginių, naudojant sukčiavimo įrenginyje (ODF) techniką. Ši technika taip pat buvo pastebėta kituose Android bankininkystės Trojos arklys, pvz., Medusa (taip pat žinomas kaip TangleBot), Copybara ir TeaBot (taip pat žinomas kaip Anatsa).
Savęs naikinimo mechanizmas
Panašiai kaip BRATA kenkėjiška programa, „BingoMod“ išsiskiria savaiminio naikinimo mechanizmu, sukurtu trukdyti atlikti teismo ekspertizę, ištrinant apgaulingo perdavimo įrodymus. Nors šiuo metu ši funkcija skirta tik išorinei įrenginio saugyklai, kyla įtarimų, kad jos nuotolinės prieigos funkcijos gali palengvinti visišką gamyklinių parametrų atkūrimą.
Taktika ir metodai
Kenkėjiška programa slepiasi kaip antivirusiniai įrankiai arba „Google Chrome“ naujinimai ir dažnai įdiegiama taikant klaidinančius veiksmus, todėl vartotojai raginami suteikti jai pritaikymo neįgaliesiems paslaugų leidimus. Gavęs leidimą, „BingoMod“ vykdo naudingą apkrovą, užrakina vartotoją iš pagrindinio ekrano ir išfiltruoja įrenginio informaciją į užpuoliko valdomą serverį. Ji taip pat naudoja pritaikymo neįgaliesiems paslaugų API, kad pavogtų slaptą informaciją, rodomą ekrane, pvz., kredencialus ir banko sąskaitų likučius, ir perimtų SMS žinutes.
Sukčiavimo vykdymas realiuoju laiku
Pinigų pervedimams atlikti BingoMod užmezga lizdu pagrįstą ryšį su savo komandų ir valdymo (C2) infrastruktūra, nuotoliniu būdu gaunant iki 40 komandų. Šios komandos leidžia kenkėjiškajai programai daryti ekrano kopijas naudojant „Android Media Projection“ API ir sąveikauti su įrenginiu realiuoju laiku. Skirtingai nuo automatinių pervedimų sistemų (ATS), kurios vykdo didelio masto finansinį sukčiavimą, BingoMod naudojama ODF technika remiasi tiesioginiu operatoriumi, kuris atlieka pinigų pervedimus iki 15 000 EUR (~ 16 100 USD) už vieną operaciją.
Vengimo būdai ir sukčiavimo galimybės
„BingoMod“ grėsmės veikėjas taiko įvairius vengimo būdus, įskaitant kodo užmaskavimą ir galimybę pašalinti savavališkas programas iš pažeistų įrenginių, o tai rodo, kad pirmenybė teikiama paprastumui, o ne išplėstinėms funkcijoms. Be to, BingoMod demonstruoja sukčiavimo galimybes per perdangos atakas ir netikrus pranešimus. Skirtingai nuo tradicinių perdangos atakų, kurios suaktyvinamos atidarius konkrečias tikslines programas, „BingoMod“ perdangos atakas inicijuoja tiesiogiai kenkėjiškų programų operatorius.
Apibendrinant galima pasakyti, kad „BingoMod“ yra reikšminga „Android RAT“ raida, derinanti pažangias nuotolinės prieigos galimybes su sudėtingais vengimo ir savęs naikinimo mechanizmais. Kibernetinio saugumo tyrėjams ir toliau stebint jo plėtrą, labai svarbu, kad vartotojai išliktų budrūs ir atsargūs, užtikrindami, kad jie atsisiųstų programas tik iš patikimų šaltinių ir reguliariai atnaujintų įrenginio saugos nustatymus, kad apsisaugotų nuo tokių grėsmių.
