BingoMod 银行木马可入侵 Android 设备窃取数据

网络安全专家发现了一种名为 BingoMod 的新型 Android 远程访问木马 (RAT)。这种复杂的恶意软件不仅会从受感染的设备中策划欺诈性资金转移，还会试图清除这些资金，抹去其活动的痕迹。意大利网络安全公司 Cleafy 于 2024 年 5 月下旬发现了 BingoMod，并透露该恶意软件仍在积极开发中。源代码中存在罗马尼亚语注释，表明其背后有一个讲罗马尼亚语的威胁行为者。

现代 RAT 功能

BingoMod 是现代 RAT 移动恶意软件的一部分，具有远程访问功能，允许威胁行为者直接从受感染的设备进行帐户接管 (ATO)，采用设备欺诈 (ODF) 技术。这种技术也出现在其他 Android 银行木马中，例如 Medusa（也称为 TangleBot）、Copybara 和 TeaBot（也称为 Anatsa）。

自毁机制

与 BRATA 恶意软件非常相似，BingoMod 的特点是具有自毁机制，旨在通过抹去欺诈性转移的证据来阻碍取证分析。尽管此功能目前仅针对设备的外部存储，但有人怀疑其远程访问功能可能会促进完全恢复出厂设置。

战术和技巧

该恶意软件伪装成防病毒工具或 Google Chrome 更新，通常通过短信钓鱼策略安装，提示用户授予其无障碍服务权限。一旦获得授权，BingoMod 就会执行其有效负载，锁定用户进入主屏幕，并将设备信息泄露到攻击者控制的服务器。它还利用无障碍服务 API 窃取屏幕上显示的敏感信息，例如凭证和银行账户余额，并拦截短信。

实时欺诈执行

为了执行转账，BingoMod 与其命令和控制 (C2) 基础设施建立了基于套接字的连接，远程接收多达 40 条命令。这些命令使恶意软件能够使用 Android 的 Media Projection API 截取屏幕截图并与设备实时交互。与大规模进行金融欺诈的自动转账系统 (ATS) 不同，BingoMod 使用的 ODF 技术依靠现场操作员执行每笔交易高达 15,000 欧元（约 16,100 美元）的转账。

逃避技术和网络钓鱼能力

BingoMod 背后的威胁者采用了各种规避技术，包括代码混淆和从受感染设备卸载任意应用程序的能力，这表明他们更倾向于简单性而不是高级功能。此外，BingoMod 还通过覆盖攻击和虚假通知展示了网络钓鱼能力。与打开特定目标应用程序时触发的传统覆盖攻击不同，BingoMod 的覆盖攻击是由恶意软件操作员直接发起的。

总而言之，BingoMod 代表了 Android RAT 的重大发展，将先进的远程访问功能与复杂的规避和自毁机制相结合。随着网络安全研究人员继续监控其发展，用户必须保持警惕和谨慎，确保他们只从可信来源下载应用程序并定期更新设备安全设置以防范此类威胁。