Troià bancari BingoMod
Els investigadors de ciberseguretat han descobert un nou troià d'accés remot d'Android (RAT) anomenat BingoMod. Aquest programari maliciós facilita les transferències de diners fraudulentes des de dispositius infectats i els esborra per eliminar els rastres de la seva presència.
Descobert a finals de maig de 2024, es creu que BingoMod està activament en desenvolupament. És probable que el troià estigui vinculat a un actor d'amenaces de parla romanesa, ja que les primeres versions del codi font contenen comentaris escrits en romanès.
Taula de continguts
Les capacitats amenaçadores del BingoMod RAT
BingoMod forma part de la darrera generació de troians d'accés remot (RAT) mòbils. Les seves capacitats avançades d'accés remot permeten als actors de l'amenaça dur a terme adquisicions de comptes (ATO) directament des de dispositius infectats, utilitzant una tècnica de frau al dispositiu (ODF).
Aquest mètode també s'ha vist en altres troians bancaris d'Android, com Medusa (també conegut com TangleBot), Copybara i TeaBot (també conegut com Anatsa).
De manera similar a BRATA , BingoMod inclou un mecanisme d'autodestrucció dissenyat per esborrar proves de transferències fraudulentes del dispositiu infectat, cosa que complica l'anàlisi forense. Tot i que actualment aquesta funció només afecta l'emmagatzematge extern del dispositiu, se sospita que les capacitats d'accés remot es podrien utilitzar per iniciar un restabliment complet de fàbrica.
BingoMod entra als telèfons de la gent sota l’aparença d’aplicacions aparentment útils
Algunes de les aplicacions descobertes es disfressen d'eines de seguretat o d'actualitzacions de Google Chrome. Després d'instal·lar-se mitjançant tàctiques de smishing, l'aplicació demana a l'usuari permisos de serveis d'accessibilitat, que després utilitza per realitzar activitats nocives.
Aquestes activitats inclouen desplegar la càrrega útil principal, bloquejar l'usuari fora de la pantalla principal per recopilar informació del dispositiu i exfiltrar aquestes dades a un servidor controlat per l'atacant. A més, l'aplicació explota l'API dels serveis d'accessibilitat per recopilar informació sensible que es mostra a la pantalla, com ara credencials i saldos de comptes bancaris. Es concedeix permís per interceptar missatges SMS.
Els actors d’amenaça operen el BingoMod RAT directament
Per realitzar transferències de diners directament des de dispositius compromesos, BingoMod estableix una connexió basada en socket amb la seva infraestructura de comandament i control (C2). Això li permet rebre fins a 40 ordres remotes, inclosa fer captures de pantalla mitjançant l'API Media Projection d'Android i interactuar amb el dispositiu en temps real.
La tècnica del frau al dispositiu (ODF) utilitzada per BingoMod requereix que un operador en directe processi manualment transferències de diners de fins a 15.000 € (~ 16.100 dòlars) per transacció en lloc d'utilitzar un sistema de transferència automàtica (ATS) per al frau financer a gran escala.
A més, el programari maliciós empra tècniques d'ofuscament de codi i pot desinstal·lar aplicacions arbitràries del dispositiu compromès, cosa que suggereix que els autors prioritzen la detecció i la simplicitat per sobre de les funcions avançades.
Més enllà del control de la pantalla en temps real, BingoMod també té capacitats de pesca mitjançant atacs de superposició i notificacions falses. A diferència dels atacs de superposició típics que es desencadenen quan s'obren aplicacions objectiu específiques, BingoMod inicia aquests atacs directament a través de l'operador de programari maliciós.
