BingoMod Banking Trojan kunde infiltrera Android-enheter för att stjäla data

Cybersäkerhetsexperter har identifierat en ny Android-trojan för fjärråtkomst (RAT) vid namn BingoMod. Den här sofistikerade skadliga programvaran orkestrerar inte bara bedrägliga pengaöverföringar från komprometterade enheter utan försöker också radera dem och radera spår av dess aktiviteter. Det italienska cybersäkerhetsföretaget Cleafy, som upptäckte BingoMod i slutet av maj 2024, avslöjade att skadlig programvara fortfarande är under aktiv utveckling. Närvaron av rumänska kommentarer i källkoden tyder på att en rumänsktalande hotaktör ligger bakom den.

Moderna RAT-funktioner

BingoMod är en del av den moderna RAT-generationen av mobil skadlig programvara, med fjärråtkomstfunktioner som gör att hotaktörer kan utföra Account Takeover (ATO) direkt från infekterade enheter, med hjälp av on-device fraud (ODF)-tekniken. Denna teknik har också setts i andra Android-banktrojaner som Medusa (även känd som TangleBot), Copybara och TeaBot (även känd som Anatsa).

Självförstörelsemekanism

Ungefär som BRATA malware, utmärker BingoMod sig med en självdestruktionsmekanism utformad för att hindra kriminalteknisk analys genom att torka bevis på bedrägliga överföringar. Även om den här funktionen för närvarande endast riktar sig till enhetens externa lagring, finns det misstankar om att dess fjärråtkomstfunktioner skulle kunna underlätta en fullständig fabriksåterställning.

Taktik och tekniker

Skadlig programvara maskerar sig som antivirusverktyg eller uppdateringar för Google Chrome och installeras ofta genom smishing-taktik, vilket uppmanar användare att ge det åtkomsttjänster för tillgänglighetstjänster. När det har beviljats, kör BingoMod sin nyttolast, låser ut användaren från huvudskärmen och exfiltrerar enhetsinformation till en angriparkontrollerad server. Det utnyttjar också tillgänglighetstjänsterna API för att stjäla känslig information som visas på skärmen, såsom inloggningsuppgifter och bankkontosaldon, och fångar upp SMS-meddelanden.

Bedrägeriutförande i realtid

För att utföra pengaöverföringar upprättar BingoMod en socket-baserad anslutning med sin kommando-och-kontroll (C2) infrastruktur, som tar emot upp till 40 kommandon på distans. Dessa kommandon gör det möjligt för skadlig programvara att ta skärmdumpar med Androids Media Projection API och interagera med enheten i realtid. Till skillnad från automatiserade överföringssystem (ATS) som utför finansiellt bedrägeri i stor skala, förlitar sig ODF-tekniken som används av BingoMod på att en liveoperatör utför pengaöverföringar på upp till €15 000 (~16 100 $) per transaktion.

Undvikande tekniker och nätfiskefunktioner

Hotaktören bakom BingoMod använder sig av olika undandragningstekniker, inklusive kodobfuskering och möjligheten att avinstallera godtyckliga appar från komprometterade enheter, vilket indikerar en preferens för enkelhet framför avancerade funktioner. Dessutom demonstrerar BingoMod nätfiskemöjligheter genom överlagringsattacker och falska meddelanden. Till skillnad från traditionella överlagringsattacker som utlöses när specifika målappar öppnas, initieras BingoMods överlagringsattacker direkt av skadlig programvara.

Sammanfattningsvis representerar BingoMod en betydande utveckling inom Android RAT, som kombinerar avancerade fjärråtkomstfunktioner med sofistikerade mekanismer för undanflykt och självförstörelse. Eftersom cybersäkerhetsforskare fortsätter att övervaka dess utveckling är det avgörande för användarna att vara vaksamma och försiktiga och se till att de bara laddar ner appar från pålitliga källor och regelbundet uppdaterar sina enhetssäkerhetsinställningar för att skydda mot sådana hot.