Банков троян BingoMod
Изследователите на киберсигурността откриха нов троянски кон за отдалечен достъп на Android (RAT), наречен BingoMod. Този злонамерен софтуер улеснява измамни парични преводи от заразени устройства и ги изтрива, за да премахне следите от присъствието си.
Разкрит в края на май 2024 г., BingoMod се смята за активно в процес на разработка. Троянският кон вероятно е свързан с румъноговорящ заплаха, тъй като ранните версии на изходния код съдържат коментари, написани на румънски.
Съдържание
Заплашителни способности на BingoMod RAT
BingoMod е част от най-новото поколение мобилни троянски коне за отдалечен достъп (RAT). Неговите усъвършенствани възможности за отдалечен достъп позволяват на заплахите да извършват превземане на акаунти (ATO) директно от заразени устройства, използвайки техника за измама на устройството (ODF).
Този метод е наблюдаван и в други банкови троянски коне за Android, като Medusa (известен също като TangleBot), Copybara и TeaBot (известен също като Anatsa).
Подобно на BRATA , BingoMod разполага с механизъм за самоунищожение, предназначен да изтрие доказателства за измамни трансфери от заразеното устройство, което усложнява криминалистичния анализ. Докато тази функция понастоящем засяга само външното хранилище на устройството, подозира се, че възможностите за отдалечен достъп могат да се използват за иницииране на пълно възстановяване на фабричните настройки.
BingoMod прониква в телефоните на хората под прикритието на привидно полезни приложения
Някои от откритите приложения се маскират като инструменти за сигурност или актуализации на Google Chrome. След като бъде инсталирано чрез smishing тактика, приложението иска от потребителя разрешения за услуги за достъпност, които след това използва за извършване на вредни дейности.
Тези дейности включват внедряване на основния полезен товар, заключване на потребителя от главния екран за събиране на информация за устройството и ексфилтриране на тези данни към сървър, контролиран от нападателя. Освен това приложението използва API на услугите за достъпност, за да събира поверителна информация, показана на екрана, като идентификационни данни и салда по банкови сметки. Той си дава разрешение да прихваща SMS съобщения.
Актьорите на заплахи управляват BingoMod RAT директно
За да извършва парични преводи директно от компрометирани устройства, BingoMod установява базирана на сокет връзка със своята инфраструктура за командване и контрол (C2). Това му позволява да получава до 40 дистанционни команди, включително правене на екранни снимки чрез API на Media Projection на Android и взаимодействие с устройството в реално време.
Техниката за измама на устройството (ODF), използвана от BingoMod, изисква оператор на живо да обработва ръчно парични преводи до €15 000 (~$16 100) на транзакция, вместо да използва автоматизирана система за трансфер (ATS) за широкомащабни финансови измами.
Освен това злонамереният софтуер използва техники за обфускиране на код и може да деинсталира произволни приложения от компрометираното устройство, което предполага, че авторите дават приоритет на избягването на откриване и простотата пред разширените функции.
Отвъд контрола на екрана в реално време, BingoMod също има възможности за фишинг чрез наслагване на атаки и фалшиви известия. За разлика от типичните наслагващи атаки, които се задействат при отваряне на конкретни целеви приложения, BingoMod инициира тези атаки директно чрез оператора на зловреден софтуер.
