حصان طروادة المصرفي BingoMod
اكتشف باحثو الأمن السيبراني حصان طروادة جديد للوصول عن بعد لنظام Android (RAT) يسمى BingoMod. تعمل هذه البرامج الضارة على تسهيل عمليات تحويل الأموال الاحتيالية من الأجهزة المصابة ومسحها لإزالة آثار وجودها.
تم الكشف عن BingoMod في أواخر مايو 2024، ويُعتقد أنه قيد التطوير بنشاط. من المحتمل أن يكون حصان طروادة مرتبطًا بجهة تهديد ناطقة بالرومانية، حيث تحتوي الإصدارات المبكرة من كود المصدر على تعليقات مكتوبة باللغة الرومانية.
جدول المحتويات
القدرات التهديدية لـ BingoMod RAT
يعد BingoMod جزءًا من أحدث جيل من أحصنة طروادة للوصول عن بعد (RATs) على الأجهزة المحمولة. تتيح إمكانات الوصول عن بعد المتقدمة للجهات الفاعلة في مجال التهديد تنفيذ عمليات الاستيلاء على الحساب (ATOs) مباشرة من الأجهزة المصابة، باستخدام تقنية الاحتيال على الجهاز (ODF).
وقد شوهدت هذه الطريقة أيضًا في أحصنة طروادة المصرفية الأخرى التي تعمل بنظام Android، مثل Medusa (المعروف أيضًا باسم TangleBot)، وCopybara، و TeaBot (المعروف أيضًا باسم Anatsa).
على غرار BRATA ، يتميز BingoMod بآلية التدمير الذاتي المصممة لمحو الأدلة على عمليات النقل الاحتيالية من الجهاز المصاب، مما يعقد تحليل الطب الشرعي. على الرغم من أن هذه الوظيفة تؤثر حاليًا فقط على وحدة التخزين الخارجية للجهاز، فمن المحتمل أن يتم استخدام إمكانات الوصول عن بعد لبدء إعادة ضبط المصنع بالكامل.
يصل BingoMod إلى هواتف الأشخاص تحت ستار التطبيقات التي تبدو مفيدة
تتنكر بعض التطبيقات المكتشفة كأدوات أمنية أو تحديثات Google Chrome. بعد تثبيته من خلال أساليب التصيد الاحتيالي، يطلب التطبيق من المستخدم أذونات خدمات إمكانية الوصول، والتي يستخدمها بعد ذلك لتنفيذ أنشطة ضارة.
تتضمن هذه الأنشطة نشر الحمولة الأساسية، وإغلاق المستخدم خارج الشاشة الرئيسية لجمع معلومات الجهاز، ونقل هذه البيانات إلى خادم يتحكم فيه المهاجم. بالإضافة إلى ذلك، يستغل التطبيق واجهة برمجة تطبيقات خدمات الوصول لجمع المعلومات الحساسة المعروضة على الشاشة، مثل بيانات الاعتماد وأرصدة الحسابات المصرفية. يمنح نفسه الإذن لاعتراض الرسائل القصيرة.
يقوم ممثلو التهديد بتشغيل BingoMod RAT مباشرة
لتنفيذ عمليات تحويل الأموال مباشرة من الأجهزة المخترقة، يقوم BingoMod بإنشاء اتصال قائم على المقبس مع البنية التحتية للتحكم والتحكم (C2). يتيح ذلك له تلقي ما يصل إلى 40 أمرًا عن بعد، بما في ذلك التقاط لقطات الشاشة عبر واجهة برمجة تطبيقات Media Projection API الخاصة بنظام Android والتفاعل مع الجهاز في الوقت الفعلي.
تتطلب تقنية الاحتيال على الجهاز (ODF) التي تستخدمها BingoMod من المشغل المباشر معالجة تحويلات الأموال يدويًا بما يصل إلى 15000 يورو (~ 16100 دولار أمريكي) لكل معاملة بدلاً من استخدام نظام التحويل الآلي (ATS) للاحتيال المالي على نطاق واسع.
بالإضافة إلى ذلك، تستخدم البرمجيات الخبيثة تقنيات تشويش التعليمات البرمجية ويمكنها إلغاء تثبيت التطبيقات التعسفية من الجهاز المخترق، مما يشير إلى أن المؤلفين يعطون الأولوية للتهرب من الكشف والبساطة على الميزات المتقدمة.
بالإضافة إلى التحكم في الشاشة في الوقت الفعلي، يتمتع BingoMod أيضًا بقدرات التصيد الاحتيالي من خلال هجمات التراكب والإشعارات المزيفة. على عكس هجمات التراكب النموذجية التي يتم تشغيلها عند فتح تطبيقات مستهدفة محددة، يبدأ BingoMod هذه الهجمات مباشرة من خلال مشغل البرامج الضارة.
