BingoMod 銀行木馬可能滲透 Android 裝置竊取數據

網路安全專家發現了一種名為 BingoMod 的新 Android 遠端存取木馬 (RAT)。這種複雜的惡意軟體不僅精心策劃從受感染的設備進行欺詐性資金轉移，還試圖擦除它們，消除其活動痕跡。義大利網路安全公司 Cleafy 於 2024 年 5 月下旬發現了 BingoMod，並透露該惡意軟體仍在積極開發中。原始碼中存在羅馬尼亞語註釋表明背後有一個講羅馬尼亞語的威脅行為者。

現代 RAT 功能

BingoMod 是現代 RAT 行動惡意軟體的一部分，具有遠端存取功能，可讓威脅行為者利用裝置上詐騙 (ODF) 技術直接從受感染的裝置進行帳戶接管 (ATO)。這種技術也出現在其他 Android 銀行木馬中，例如 Medusa（也稱為 TangleBot）、Copybara 和 TeaBot（也稱為 Anatsa）。

自毀機制

與 BRATA 惡意軟體非常相似，BingoMod 的特點是具有自毀機制，旨在透過擦除欺詐性傳輸的證據來阻礙取證分析。儘管此功能目前僅針對設備的外部存儲，但有人懷疑其遠端存取功能可能有助於完全恢復出廠設定。

策略與技術

該惡意軟體偽裝成 Google Chrome 的防毒工具或更新，通常透過網路釣魚策略安裝，提示使用者授予其輔助服務權限。一旦獲得授權，BingoMod 就會執行其有效負載，將使用者鎖定在主螢幕之外，並將裝置資訊洩漏到攻擊者控制的伺服器。它還利用輔助服務 API 竊取螢幕上顯示的敏感訊息，例如憑證和銀行帳戶餘額，並攔截 SMS 訊息。

即時詐欺執行

為了執行匯款，BingoMod 與其命令和控制 (C2) 基礎設施建立基於套接字的連接，遠端接收最多 40 個命令。這些命令使惡意軟體能夠使用 Android 的媒體投影 API 截取螢幕截圖並與裝置即時互動。與大規模進行金融詐欺的自動轉帳系統 (ATS) 不同，BingoMod 使用的 ODF 技術依靠現場操作員來執行每筆交易高達 15,000 歐元（約 16,100 美元）的資金轉帳。

規避技術和網路釣魚功能

BingoMod 背後的威脅行為者採用了各種規避技術，包括程式碼混淆和從受感染設備卸載任意應用程式的能力，這表明他們更喜歡簡單性而不是高級功能。此外，BingoMod 透過覆蓋攻擊和虛假通知展示了網路釣魚功能。與開啟特定目標應用程式時觸發的傳統覆蓋攻擊不同，BingoMod 的覆蓋攻擊是由惡意軟體操作者直接發起的。

總之，BingoMod 代表了 Android RAT 的重大演變，將先進的遠端存取功能與複雜的規避和自毀機制相結合。隨著網路安全研究人員繼續監控其發展，用戶保持警惕和謹慎至關重要，確保他們只從可信任來源下載應用程式並定期更新設備安全設定以防範此類威脅。