BingoMod Banking Trojan
Cybersikkerhedsforskere har opdaget en ny Android Remote Access Trojan (RAT) ved navn BingoMod. Denne malware letter svigagtige pengeoverførsler fra inficerede enheder og sletter dem for at fjerne spor af dens tilstedeværelse.
BingoMod blev afsløret i slutningen af maj 2024 og menes at være aktivt under udvikling. Trojaneren er sandsynligvis knyttet til en rumænsk-talende trusselsaktør, da tidlige versioner af kildekoden indeholder kommentarer skrevet på rumænsk.
Indholdsfortegnelse
De truende egenskaber ved BingoMod RAT
BingoMod er en del af den seneste mobile Remote Access Trojans (RATs) generation. Dens avancerede fjernadgangsfunktioner gør det muligt for trusselsaktører at udføre Account Takeovers (ATO'er) direkte fra inficerede enheder ved at bruge en on-device fraud-teknik (ODF).
Denne metode er også blevet set i andre Android-banktrojanske heste, såsom Medusa (også kendt som TangleBot), Copybara og TeaBot (også kendt som Anatsa).
I lighed med BRATA har BingoMod en selvdestruktionsmekanisme designet til at slette beviser for svigagtige overførsler fra den inficerede enhed, hvilket komplicerer retsmedicinsk analyse. Selvom denne funktion i øjeblikket kun påvirker enhedens eksterne lager, er det mistænkt, at fjernadgangsfunktionerne kan bruges til at starte en fuld fabriksnulstilling.
BingoMod kommer ind i folks telefoner under dække af tilsyneladende nyttige applikationer
Nogle af de opdagede applikationer forklæder sig som sikkerhedsværktøjer eller Google Chrome-opdateringer. Efter at være blevet installeret gennem smishing-taktik, beder appen brugeren om tilladelser til tilgængelighedstjenester, som den derefter bruger til at udføre skadelige aktiviteter.
Disse aktiviteter omfatter implementering af den primære nyttelast, låsning af brugeren ude af hovedskærmen for at indsamle enhedsoplysninger og exfiltrering af disse data til en server styret af angriberen. Derudover udnytter applikationen tilgængelighedstjenesters API til at indsamle følsomme oplysninger, der vises på skærmen, såsom legitimationsoplysninger og bankkontosaldi. Den giver sig selv tilladelse til at opsnappe SMS-beskeder.
Trusselskuespillere betjener BingoMod RAT direkte
For at udføre pengeoverførsler direkte fra kompromitterede enheder, etablerer BingoMod en socket-baseret forbindelse med sin Command-and-Control (C2) infrastruktur. Dette giver den mulighed for at modtage op til 40 fjernkommandoer, herunder at tage skærmbilleder via Androids Media Projection API og interagere med enheden i realtid.
On-Device Fraud (ODF)-teknikken, der bruges af BingoMod, kræver, at en live-operatør manuelt behandler pengeoverførsler på op til €15.000 (~$16.100) pr. transaktion i stedet for at bruge et automatiseret overførselssystem (ATS) til storstilet økonomisk bedrageri.
Derudover anvender malwaren kodetilsløringsteknikker og kan afinstallere vilkårlige applikationer fra den kompromitterede enhed, hvilket tyder på, at forfatterne prioriterer at undgå opdagelse og enkelhed frem for avancerede funktioner.
Ud over skærmkontrol i realtid har BingoMod også phishing-muligheder gennem Overlay-angreb og falske notifikationer. I modsætning til typiske overlejringsangreb, der udløses, når specifikke målapplikationer åbnes, initierer BingoMod disse angreb direkte gennem malware-operatøren.
