BingoMod Banking Trojan kan Android-apparaten infiltreren om gegevens te stelen
Cybersecurity-experts hebben een nieuwe Android-trojan voor externe toegang (RAT) geïdentificeerd met de naam BingoMod. Deze geavanceerde malware orkestreert niet alleen frauduleuze geldoverdrachten vanaf gecompromitteerde apparaten, maar probeert deze ook te wissen, waardoor sporen van zijn activiteiten worden gewist. Het Italiaanse cyberbeveiligingsbedrijf Cleafy, dat BingoMod eind mei 2024 ontdekte, onthulde dat de malware nog steeds in actieve ontwikkeling is. De aanwezigheid van commentaar in de Roemeense taal in de broncode suggereert dat er een Roemeenssprekende dreigingsactor achter zit.
Table of Contents
Moderne RAT-mogelijkheden
BingoMod maakt deel uit van de moderne RAT-generatie van mobiele malware, met mogelijkheden voor externe toegang waarmee bedreigingsactoren Account Takeover (ATO) rechtstreeks vanaf geïnfecteerde apparaten kunnen uitvoeren, waarbij gebruik wordt gemaakt van de on-device fraude (ODF)-techniek. Deze techniek is ook gezien in andere Android-banktrojans zoals Medusa (ook bekend als TangleBot), Copybara en TeaBot (ook bekend als Anatsa).
Zelfvernietigingsmechanisme
Net als de BRATA-malware onderscheidt BingoMod zich met een zelfvernietigingsmechanisme dat is ontworpen om forensische analyse te belemmeren door bewijsmateriaal van frauduleuze overdrachten te wissen. Hoewel deze functionaliteit momenteel alleen gericht is op de externe opslag van het apparaat, bestaan er vermoedens dat de functies voor externe toegang een volledige fabrieksreset zouden kunnen vergemakkelijken.
Tactiek en technieken
De malware doet zich voor als antivirusprogramma's of updates voor Google Chrome en wordt vaak geïnstalleerd via smishing-tactieken, waardoor gebruikers de toegankelijkheidsservices toestemming moeten geven. Eenmaal toegekend, voert BingoMod zijn payload uit, vergrendelt de gebruiker van het hoofdscherm en exfiltreert apparaatinformatie naar een door de aanvaller bestuurde server. Het maakt ook gebruik van de API voor toegankelijkheidsservices om gevoelige informatie te stelen die op het scherm wordt weergegeven, zoals inloggegevens en bankrekeningsaldi, en onderschept sms-berichten.
Realtime fraude-uitvoering
Om geldoverdrachten uit te voeren, brengt BingoMod een socket-gebaseerde verbinding tot stand met zijn command-and-control (C2)-infrastructuur, waarbij op afstand tot 40 commando's kunnen worden ontvangen. Met deze opdrachten kan de malware schermafbeeldingen maken met behulp van de Media Projection API van Android en in realtime met het apparaat communiceren. In tegenstelling tot geautomatiseerde overdrachtssystemen (ATS) die op grote schaal financiële fraude plegen, is de ODF-techniek die door BingoMod wordt gebruikt afhankelijk van een live operator om geldoverdrachten uit te voeren tot €15.000 (~$16.100) per transactie.
Ontduikingstechnieken en phishing-mogelijkheden
De bedreigingsacteur achter BingoMod maakt gebruik van verschillende ontwijkingstechnieken, waaronder codeverduistering en de mogelijkheid om willekeurige apps van besmette apparaten te verwijderen, wat aangeeft dat eenvoud de voorkeur geniet boven geavanceerde functies. Bovendien demonstreert BingoMod phishing-mogelijkheden via overlay-aanvallen en valse meldingen. In tegenstelling tot traditionele overlay-aanvallen die worden geactiveerd wanneer specifieke doel-apps worden geopend, worden de overlay-aanvallen van BingoMod rechtstreeks door de malware-operator geïnitieerd.
Samenvattend vertegenwoordigt BingoMod een significante evolutie in Android RAT's, waarbij geavanceerde mogelijkheden voor externe toegang worden gecombineerd met geavanceerde ontwijkings- en zelfvernietigingsmechanismen. Terwijl onderzoekers op het gebied van cyberbeveiliging de ontwikkeling ervan blijven volgen, is het van cruciaal belang dat gebruikers waakzaam en voorzichtig blijven, ervoor zorgen dat ze alleen apps downloaden van vertrouwde bronnen en regelmatig de beveiligingsinstellingen van hun apparaten bijwerken om zich tegen dergelijke bedreigingen te beschermen.
