Банковский троян BingoMod может проникать в устройства Android с целью кражи данных
Эксперты по кибербезопасности выявили новый троян удаленного доступа к Android (RAT) под названием BingoMod. Это сложное вредоносное ПО не только организует мошеннические переводы денег со скомпрометированных устройств, но и пытается их уничтожить, стирая следы своей деятельности. Итальянская фирма по кибербезопасности Cleafy, обнаружившая BingoMod в конце мая 2024 года, сообщила, что вредоносное ПО все еще находится в активной разработке. Наличие комментариев на румынском языке в исходном коде позволяет предположить, что за этим стоит румыноязычный злоумышленник.
Table of Contents
Современные возможности RAT
BingoMod — это часть современного поколения мобильных вредоносных программ RAT с возможностями удаленного доступа, которые позволяют злоумышленникам осуществлять захват учетных записей (ATO) непосредственно с зараженных устройств, используя технику мошенничества на устройстве (ODF). Подобная техника также использовалась в других банковских троянах Android, таких как Medusa (также известный как TangleBot), Copybara и TeaBot (также известный как Anatsa).
Механизм самоуничтожения
Как и вредоносное ПО BRATA, BingoMod отличается механизмом самоуничтожения, предназначенным для предотвращения криминалистического анализа путем уничтожения доказательств мошеннических передач. Хотя в настоящее время эта функция предназначена только для внешнего хранилища устройства, есть подозрения, что ее функции удаленного доступа могут облегчить полный сброс настроек к заводским настройкам.
Тактика и техника
Вредоносное ПО маскируется под антивирусные инструменты или обновления для Google Chrome и часто устанавливается с помощью тактики «смиш», побуждая пользователей предоставить ему разрешения служб специальных возможностей. После получения разрешения BingoMod выполняет свою полезную нагрузку, блокирует доступ пользователя к главному экрану и передает информацию об устройстве на сервер, контролируемый злоумышленником. Он также использует API служб доступности для кражи конфиденциальной информации, отображаемой на экране, такой как учетные данные и баланс банковских счетов, а также перехватывает SMS-сообщения.
Исполнение мошенничества в режиме реального времени
Для выполнения денежных переводов BingoMod устанавливает соединение на основе сокетов со своей инфраструктурой управления и контроля (C2), удаленно получая до 40 команд. Эти команды позволяют вредоносному ПО делать снимки экрана с помощью Android Media Projection API и взаимодействовать с устройством в режиме реального времени. В отличие от автоматических систем переводов (ATS), которые осуществляют финансовое мошенничество в больших масштабах, метод ODF, используемый BingoMod, полагается на живого оператора для выполнения денежных переводов на сумму до 15 000 евро (~ 16 100 долларов США) за транзакцию.
Методы уклонения и возможности фишинга
Злоумышленник, стоящий за BingoMod, использует различные методы обхода, включая запутывание кода и возможность удалять произвольные приложения со скомпрометированных устройств, что указывает на предпочтение простоты перед расширенными функциями. Кроме того, BingoMod демонстрирует возможности фишинга посредством наложенных атак и поддельных уведомлений. В отличие от традиционных оверлейных атак, которые запускаются при открытии определенных целевых приложений, оверлейные атаки BingoMod инициируются непосредственно оператором вредоносного ПО.
Подводя итог, BingoMod представляет собой значительную эволюцию Android RAT, сочетая расширенные возможности удаленного доступа со сложными механизмами уклонения и самоуничтожения. Поскольку исследователи кибербезопасности продолжают следить за его развитием, пользователям крайне важно сохранять бдительность и осторожность, гарантируя, что они загружают приложения только из надежных источников и регулярно обновляют настройки безопасности своих устройств для защиты от таких угроз.
