BingoMod Banking Trojan kan infiltrere Android-enheter for å stjele data
Eksperter på nettsikkerhet har identifisert en ny Android-trojaner for fjerntilgang (RAT) kalt BingoMod. Denne sofistikerte skadevare orkestrerer ikke bare falske pengeoverføringer fra kompromitterte enheter, men forsøker også å slette dem, og sletter spor etter aktivitetene. Det italienske cybersikkerhetsfirmaet Cleafy, som oppdaget BingoMod i slutten av mai 2024, avslørte at skadevaren fortsatt er under aktiv utvikling. Tilstedeværelsen av rumenskspråklige kommentarer i kildekoden antyder at en rumensktalende trusselaktør står bak.
Table of Contents
Moderne RAT-funksjoner
BingoMod er en del av den moderne RAT-generasjonen av mobil skadelig programvare, med funksjoner for fjerntilgang som lar trusselaktører utføre kontoovertakelse (ATO) direkte fra infiserte enheter, ved bruk av on-device fraud (ODF)-teknikken. Denne teknikken har også blitt sett i andre Android-banktrojanere som Medusa (også kjent som TangleBot), Copybara og TeaBot (også kjent som Anatsa).
Selvdestruksjonsmekanisme
På samme måte som BRATA-malwaren, utmerker BingoMod seg med en selvdestruksjonsmekanisme designet for å hindre rettsmedisinske analyser ved å tørke bevis for uredelige overføringer. Selv om denne funksjonaliteten for øyeblikket kun er rettet mot enhetens eksterne lagring, er det mistanke om at fjerntilgangsfunksjonene kan lette en fullstendig tilbakestilling av fabrikken.
Taktikk og teknikker
Skadevaren maskerer seg som antivirusverktøy eller oppdateringer for Google Chrome og installeres ofte gjennom smishing-taktikker, noe som ber brukere om å gi den tilgangstjenester tillatelser. Når det er gitt, kjører BingoMod nyttelasten, låser brukeren ute fra hovedskjermen og eksfiltrerer enhetsinformasjon til en angriperkontrollert server. Den utnytter også tilgjengelighetstjenestens API for å stjele sensitiv informasjon som vises på skjermen, for eksempel legitimasjon og bankkontosaldo, og fanger opp SMS-meldinger.
Utførelse av svindel i sanntid
For å utføre pengeoverføringer, etablerer BingoMod en socket-basert forbindelse med sin kommando-og-kontroll (C2) infrastruktur, og mottar opptil 40 kommandoer eksternt. Disse kommandoene gjør det mulig for skadelig programvare å ta skjermbilder ved hjelp av Androids Media Projection API og samhandle med enheten i sanntid. I motsetning til automatiserte overføringssystemer (ATS) som utfører økonomisk svindel i stor skala, er ODF-teknikken brukt av BingoMod avhengig av en live-operatør for å utføre pengeoverføringer på opptil €15 000 (~$16 100) per transaksjon.
Evasjonsteknikker og phishing-evner
Trusselaktøren bak BingoMod bruker ulike unnvikelsesteknikker, inkludert kodeobfuskering og muligheten til å avinstallere vilkårlige apper fra kompromitterte enheter, noe som indikerer en preferanse for enkelhet fremfor avanserte funksjoner. I tillegg demonstrerer BingoMod phishing-evner gjennom overleggsangrep og falske varsler. I motsetning til tradisjonelle overleggsangrep som utløses når spesifikke målapper åpnes, initieres BingoMods overleggsangrep direkte av skadevareoperatøren.
Oppsummert representerer BingoMod en betydelig utvikling innen Android RAT-er, og kombinerer avanserte fjerntilgangsfunksjoner med sofistikerte unnvikelses- og selvdestruksjonsmekanismer. Ettersom cybersikkerhetsforskere fortsetter å overvåke utviklingen, er det avgjørende for brukere å være årvåkne og forsiktige, og sikre at de kun laster ned apper fra pålitelige kilder og regelmessig oppdaterer enhetens sikkerhetsinnstillinger for å beskytte mot slike trusler.
