Bankovní trojan BingoMod
Výzkumníci v oblasti kybernetické bezpečnosti objevili nový trojan Android Remote Access Trojan (RAT) s názvem BingoMod. Tento malware usnadňuje podvodné převody peněz z infikovaných zařízení a maže je, aby eliminoval stopy jeho přítomnosti.
Předpokládá se, že BingoMod, který byl odhalen koncem května 2024, je aktivně vyvíjen. Trojan je pravděpodobně spojen s rumunsky mluvícím aktérem hrozby, protože rané verze zdrojového kódu obsahují komentáře napsané v rumunštině.
Obsah
Hrozivé schopnosti BingoMod RAT
BingoMod je součástí nejnovější generace mobilních trojských koní pro vzdálený přístup (RAT). Jeho pokročilé možnosti vzdáleného přístupu umožňují aktérům hrozeb provádět převzetí účtů (ATO) přímo z infikovaných zařízení s využitím techniky podvodu na zařízení (ODF).
Tato metoda byla také viděna u jiných bankovních trojanů Android, jako je Medusa (také známý jako TangleBot), Copybara a TeaBot (také známý jako Anatsa).
Podobně jako BRATA má BingoMod mechanismus sebezničení navržený tak, aby vymazal důkazy o podvodných přenosech z infikovaného zařízení, což komplikuje forenzní analýzu. I když tato funkce aktuálně ovlivňuje pouze externí úložiště zařízení, existuje podezření, že funkce vzdáleného přístupu by mohly být použity k zahájení úplného obnovení továrního nastavení.
BingoMod se dostane do lidských telefonů pod rouškou zdánlivě užitečných aplikací
Některé z objevených aplikací se maskují jako bezpečnostní nástroje nebo aktualizace Google Chrome. Po instalaci pomocí smishingové taktiky aplikace požádá uživatele o oprávnění služeb přístupnosti, která pak používá k provádění škodlivých činností.
Tyto činnosti zahrnují nasazení primárního užitečného zatížení, uzamčení uživatele z hlavní obrazovky za účelem shromažďování informací o zařízení a exfiltraci těchto dat na server ovládaný útočníkem. Kromě toho aplikace využívá rozhraní API služeb přístupnosti ke sběru citlivých informací zobrazených na obrazovce, jako jsou přihlašovací údaje a zůstatky na bankovních účtech. Uděluje si oprávnění k zachycení SMS zpráv.
Aktéři hrozeb obsluhují BingoMod RAT přímo
Aby bylo možné provádět převody peněz přímo z kompromitovaných zařízení, BingoMod naváže připojení založené na soketu s infrastrukturou Command-and-Control (C2). To mu umožňuje přijímat až 40 vzdálených příkazů, včetně pořizování snímků obrazovky prostřednictvím rozhraní Android Media Projection API a interakce se zařízením v reálném čase.
Technika podvodu na zařízení (ODF), kterou používá BingoMod, vyžaduje, aby živý operátor ručně zpracovával převody peněz až do výše 15 000 EUR (~ 16 100 USD) na transakci, místo aby pro rozsáhlé finanční podvody používal systém automatického převodu (ATS).
Malware navíc využívá techniky znejasňování kódu a dokáže z napadeného zařízení odinstalovat libovolné aplikace, což naznačuje, že autoři upřednostňují vyhýbaní se detekci a jednoduchost před pokročilými funkcemi.
Kromě ovládání obrazovky v reálném čase má BingoMod také možnosti phishingu prostřednictvím překryvných útoků a falešných oznámení. Na rozdíl od typických překryvných útoků, které se spouštějí při otevření konkrétních cílových aplikací, BingoMod iniciuje tyto útoky přímo prostřednictvím operátora malwaru.
