Trojan bankowy BingoMod może infiltrować urządzenia z Androidem w celu kradzieży danych
Eksperci ds. cyberbezpieczeństwa zidentyfikowali nowego trojana zdalnego dostępu do Androida (RAT) o nazwie BingoMod. To wyrafinowane złośliwe oprogramowanie nie tylko organizuje oszukańcze przelewy pieniężne z zaatakowanych urządzeń, ale także próbuje je wyczyścić, usuwając ślady swojej działalności. Włoska firma Cleafy zajmująca się bezpieczeństwem cybernetycznym, która odkryła BingoMod pod koniec maja 2024 r., ujawniła, że szkodliwe oprogramowanie jest nadal aktywnie rozwijane. Obecność komentarzy w języku rumuńskim w kodzie źródłowym sugeruje, że stoi za tym rumuńskojęzyczny ugrupowanie zagrażające.
Table of Contents
Nowoczesne możliwości RAT
BingoMod jest częścią nowoczesnej generacji mobilnego szkodliwego oprogramowania RAT, wyposażonej w funkcje zdalnego dostępu, które umożliwiają podmiotom zagrażającym przejęcie konta (ATO) bezpośrednio z zainfekowanych urządzeń przy użyciu techniki oszustwa na urządzeniu (ODF). Technikę tę zaobserwowano również w innych trojanach bankowych dla systemu Android, takich jak Medusa (znana również jako TangleBot), Copybara i TeaBot (znana również jako Anatsa).
Mechanizm samozniszczenia
Podobnie jak szkodliwe oprogramowanie BRATA, BingoMod wyróżnia się mechanizmem samozniszczenia, którego zadaniem jest utrudnianie analiz kryminalistycznych poprzez usuwanie dowodów fałszywych transferów. Chociaż ta funkcja jest obecnie ukierunkowana tylko na zewnętrzną pamięć urządzenia, istnieją podejrzenia, że jej funkcje zdalnego dostępu mogą ułatwić całkowite przywrócenie ustawień fabrycznych.
Taktyka i techniki
Szkodnik podszywa się pod narzędzia antywirusowe lub aktualizacje przeglądarki Google Chrome i często jest instalowany przy użyciu skutecznych taktyk, nakłaniających użytkowników do przyznania mu uprawnień do usług ułatwień dostępu. Po przyznaniu BingoMod wykonuje swój ładunek, blokuje użytkownika z głównego ekranu i wydobywa informacje o urządzeniu na serwer kontrolowany przez osobę atakującą. Wykorzystuje także interfejs API usług dostępności do kradzieży poufnych informacji wyświetlanych na ekranie, takich jak dane uwierzytelniające i salda kont bankowych, a także przechwytuje wiadomości SMS.
Egzekucja oszustw w czasie rzeczywistym
Aby realizować przelewy pieniężne, BingoMod ustanawia połączenie oparte na gniazdach ze swoją infrastrukturą dowodzenia i kontroli (C2), otrzymując zdalnie do 40 poleceń. Polecenia te umożliwiają złośliwemu oprogramowaniu wykonywanie zrzutów ekranu przy użyciu interfejsu API Media Projection systemu Android i interakcję z urządzeniem w czasie rzeczywistym. W przeciwieństwie do automatycznych systemów przelewów (ATS), które przeprowadzają oszustwa finansowe na dużą skalę, technika ODF stosowana przez BingoMod opiera się na rzeczywistym operatorze, który wykonuje przelewy pieniężne o wartości do 15 000 EUR (~16 100 USD) na transakcję.
Techniki unikania ataków i możliwości phishingu
Osoba zagrażająca stojąca za BingoModem wykorzystuje różne techniki unikania zagrożeń, w tym zaciemnianie kodu i możliwość odinstalowywania dowolnych aplikacji z zaatakowanych urządzeń, co wskazuje na to, że woli prostotę niż zaawansowane funkcje. Dodatkowo BingoMod demonstruje możliwości phishingu poprzez ataki nakładkowe i fałszywe powiadomienia. W przeciwieństwie do tradycyjnych ataków nakładkowych, które są wyzwalane po otwarciu określonych aplikacji docelowych, ataki nakładkowe BingoMod są inicjowane bezpośrednio przez operatora złośliwego oprogramowania.
Podsumowując, BingoMod stanowi znaczącą ewolucję w Android RAT, łącząc zaawansowane możliwości zdalnego dostępu z wyrafinowanymi mechanizmami unikania i samozniszczenia. Ponieważ badacze cyberbezpieczeństwa stale monitorują jego rozwój, niezwykle ważne jest, aby użytkownicy zachowali czujność i ostrożność, upewniając się, że pobierają aplikacje wyłącznie z zaufanych źródeł i regularnie aktualizują ustawienia zabezpieczeń swoich urządzeń, aby chronić się przed takimi zagrożeniami.
