Trojan bancário BingoMod pode se infiltrar em dispositivos Android para roubar dados
Especialistas em segurança cibernética identificaram um novo trojan de acesso remoto (RAT) para Android chamado BingoMod. Esse malware sofisticado não apenas orquestra transferências fraudulentas de dinheiro de dispositivos comprometidos, mas também tenta apagá-los, apagando rastros de suas atividades. A empresa italiana de segurança cibernética Cleafy, que descobriu o BingoMod no final de maio de 2024, revelou que o malware ainda está em desenvolvimento ativo. A presença de comentários em romeno no código-fonte sugere que um agente de ameaça que fala romeno está por trás disso.
Table of Contents
Capacidades modernas de RAT
O BingoMod faz parte da moderna geração RAT de malware móvel, com recursos de acesso remoto que permitem que os agentes de ameaças conduzam o controle de contas (ATO) diretamente de dispositivos infectados, empregando a técnica de fraude no dispositivo (ODF). Essa técnica também foi vista em outros trojans bancários para Android, como Medusa (também conhecido como TangleBot), Copybara e TeaBot (também conhecido como Anatsa).
Mecanismo de Autodestruição
Muito parecido com o malware BRATA, o BingoMod se distingue por um mecanismo de autodestruição projetado para dificultar a análise forense, apagando evidências de transferências fraudulentas. Embora atualmente essa funcionalidade vise apenas o armazenamento externo do dispositivo, há suspeitas de que seus recursos de acesso remoto possam facilitar uma redefinição completa de fábrica.
Táticas e Técnicas
O malware se disfarça como ferramentas antivírus ou atualizações para o Google Chrome e geralmente é instalado por meio de táticas de smishing, solicitando que os usuários concedam permissões de serviços de acessibilidade. Uma vez concedido, o BingoMod executa sua carga, bloqueia o usuário da tela principal e exfiltra as informações do dispositivo para um servidor controlado pelo invasor. Ele também explora a API de serviços de acessibilidade para roubar informações confidenciais exibidas na tela, como credenciais e saldos de contas bancárias, e intercepta mensagens SMS.
Execução de fraude em tempo real
Para executar transferências de dinheiro, o BingoMod estabelece uma conexão baseada em soquete com sua infraestrutura de comando e controle (C2), recebendo até 40 comandos remotamente. Esses comandos permitem que o malware faça capturas de tela usando a API Media Projection do Android e interaja com o dispositivo em tempo real. Ao contrário dos sistemas de transferência automatizada (ATS) que realizam fraudes financeiras em grande escala, a técnica ODF usada pelo BingoMod depende de um operador ao vivo para realizar transferências de dinheiro de até € 15.000 (~US$ 16.100) por transação.
Técnicas de Evasão e Capacidades de Phishing
O agente da ameaça por trás do BingoMod emprega várias técnicas de evasão, incluindo ofuscação de código e a capacidade de desinstalar aplicativos arbitrários de dispositivos comprometidos, indicando uma preferência pela simplicidade em vez de recursos avançados. Além disso, o BingoMod demonstra capacidades de phishing por meio de ataques de sobreposição e notificações falsas. Ao contrário dos ataques de sobreposição tradicionais que são acionados quando aplicativos de destino específicos são abertos, os ataques de sobreposição do BingoMod são iniciados diretamente pelo operador do malware.
Em resumo, o BingoMod representa uma evolução significativa nos RATs Android, combinando capacidades avançadas de acesso remoto com mecanismos sofisticados de evasão e autodestruição. À medida que os investigadores de segurança cibernética continuam a monitorizar o seu desenvolvimento, é crucial que os utilizadores permaneçam vigilantes e cautelosos, garantindo que apenas descarregam aplicações de fontes confiáveis e atualizam regularmente as definições de segurança dos seus dispositivos para se protegerem contra tais ameaças.
