BingoMod Banking Trojan
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα νέο Android Remote Access Trojan (RAT) που ονομάζεται BingoMod. Αυτό το κακόβουλο λογισμικό διευκολύνει τις δόλιες μεταφορές χρημάτων από μολυσμένες συσκευές και τις σκουπίζει για να εξαλείψει τα ίχνη της παρουσίας του.
Το BingoMod, που αποκαλύφθηκε στα τέλη Μαΐου 2024, θεωρείται ότι βρίσκεται υπό ανάπτυξη. Το Trojan πιθανότατα συνδέεται με έναν ρουμανόφωνο παράγοντα απειλής, καθώς οι πρώτες εκδόσεις του πηγαίου κώδικα περιέχουν σχόλια γραμμένα στα ρουμανικά.
Πίνακας περιεχομένων
Οι Απειλητικές Δυνατότητες του BingoMod RAT
Το BingoMod είναι μέρος της τελευταίας γενιάς Trojan Remote Access (RAT) για φορητές συσκευές. Οι προηγμένες δυνατότητες απομακρυσμένης πρόσβασης επιτρέπουν στους παράγοντες απειλών να πραγματοποιούν εξαγορές λογαριασμού (ATO) απευθείας από μολυσμένες συσκευές, χρησιμοποιώντας μια τεχνική απάτης στη συσκευή (ODF).
Αυτή η μέθοδος έχει επίσης παρατηρηθεί σε άλλα τραπεζικά trojan Android, όπως το Medusa (γνωστό και ως TangleBot), το Copybara και το TeaBot (γνωστό και ως Anatsa).
Παρόμοια με το BRATA , το BingoMod διαθέτει έναν μηχανισμό αυτοκαταστροφής που έχει σχεδιαστεί για να διαγράφει στοιχεία δόλιας μεταφοράς από τη μολυσμένη συσκευή, περιπλέκοντας την ιατροδικαστική ανάλυση. Αν και αυτή η λειτουργία επηρεάζει επί του παρόντος μόνο τον εξωτερικό χώρο αποθήκευσης της συσκευής, υπάρχει η υποψία ότι οι δυνατότητες απομακρυσμένης πρόσβασης θα μπορούσαν να χρησιμοποιηθούν για την έναρξη μιας πλήρους επαναφοράς εργοστασιακών ρυθμίσεων.
Το BingoMod μπαίνει μέσα στα τηλέφωνα των ανθρώπων με το πρόσχημα των φαινομενικά χρήσιμων εφαρμογών
Ορισμένες από τις εφαρμογές που ανακαλύφθηκαν μεταμφιέζονται ως εργαλεία ασφαλείας ή ενημερώσεις του Google Chrome. Αφού εγκατασταθεί μέσω τακτικών smishing, η εφαρμογή ζητά από τον χρήστη άδειες υπηρεσιών προσβασιμότητας, τις οποίες στη συνέχεια χρησιμοποιεί για την εκτέλεση επιβλαβών δραστηριοτήτων.
Αυτές οι δραστηριότητες περιλαμβάνουν την ανάπτυξη του κύριου ωφέλιμου φορτίου, το κλείδωμα του χρήστη έξω από την κύρια οθόνη για τη συλλογή πληροφοριών συσκευής και την εξαγωγή αυτών των δεδομένων σε έναν διακομιστή που ελέγχεται από τον εισβολέα. Επιπλέον, η εφαρμογή εκμεταλλεύεται το API υπηρεσιών προσβασιμότητας για τη συλλογή ευαίσθητων πληροφοριών που εμφανίζονται στην οθόνη, όπως διαπιστευτήρια και υπόλοιπα τραπεζικών λογαριασμών. Παραχωρεί στον εαυτό της την άδεια να υποκλέψει μηνύματα SMS.
Ηθοποιοί απειλών Λειτουργούν απευθείας το BingoMod RAT
Για να πραγματοποιήσει μεταφορές χρημάτων απευθείας από παραβιασμένες συσκευές, το BingoMod δημιουργεί μια σύνδεση βασισμένη σε πρίζα με την υποδομή Command-and-Control (C2). Αυτό του επιτρέπει να λαμβάνει έως και 40 απομακρυσμένες εντολές, συμπεριλαμβανομένης της λήψης στιγμιότυπων οθόνης μέσω του API Media Projection του Android και της αλληλεπίδρασης με τη συσκευή σε πραγματικό χρόνο.
Η τεχνική απάτης στη συσκευή (ODF) που χρησιμοποιείται από το BingoMod απαιτεί από έναν ζωντανό χειριστή να επεξεργάζεται χειροκίνητα μεταφορές χρημάτων έως και 15.000 € (~16.100 $) ανά συναλλαγή αντί να χρησιμοποιεί ένα Αυτοματοποιημένο Σύστημα Μεταφοράς (ATS) για μεγάλης κλίμακας χρηματοοικονομική απάτη.
Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί τεχνικές συσκότισης κώδικα και μπορεί να απεγκαταστήσει αυθαίρετες εφαρμογές από την παραβιασμένη συσκευή, υποδηλώνοντας ότι οι συγγραφείς δίνουν προτεραιότητα στην αποφυγή του εντοπισμού και της απλότητας έναντι των προηγμένων λειτουργιών.
Πέρα από τον έλεγχο της οθόνης σε πραγματικό χρόνο, το BingoMod διαθέτει επίσης δυνατότητες phishing μέσω επιθέσεων επικάλυψης και ψεύτικων ειδοποιήσεων. Σε αντίθεση με τις τυπικές επιθέσεις επικάλυψης που ενεργοποιούνται όταν ανοίγουν συγκεκριμένες εφαρμογές στόχου, το BingoMod εκκινεί αυτές τις επιθέσεις απευθείας μέσω του χειριστή κακόβουλου λογισμικού.
