BingoModi panganduse troojalane
Küberturvalisuse teadlased avastasid uue Android Remote Access Trooja (RAT) nimega BingoMod. See pahavara hõlbustab petturlikke rahaülekandeid nakatunud seadmetest ja pühib need ära, et kõrvaldada selle olemasolu jäljed.
Arvatakse, et 2024. aasta mai lõpus avalikustatud BingoMod on aktiivselt arendamisel. Troojalane on tõenäoliselt seotud rumeenia keelt kõneleva ohutegijaga, kuna lähtekoodi varased versioonid sisaldavad rumeenia keeles kirjutatud kommentaare.
Sisukord
BingoMod RATi ähvardavad võimalused
BingoMod on osa uusimast mobiilsete kaugjuurdepääsu troojalaste (RAT) põlvkonnast. Selle täiustatud kaugjuurdepääsu võimalused võimaldavad ohus osalejatel teostada konto ülevõtmist (ATO-sid) otse nakatunud seadmetest, kasutades seadmesisest pettuse (ODF) tehnikat.
Seda meetodit on nähtud ka teistes Androidi pangandustroojalastes, nagu Medusa (tuntud ka kui TangleBot), Copybara ja TeaBot (tuntud ka kui Anatsa).
Sarnaselt BRATA- ga on BingoModil enesehävitusmehhanism, mis on loodud nakatunud seadmest petturliku edastamise tõendite kustutamiseks, mis muudab kohtuekspertiisi analüüsi keerulisemaks. Kuigi see funktsioon mõjutab praegu ainult seadme välismälu, kahtlustatakse, et kaugjuurdepääsu võimalusi saab kasutada täieliku tehaseseadetele lähtestamiseks.
BingoMod satub inimeste telefonidesse näiliselt kasulike rakenduste varjus
Mõned avastatud rakendused maskeerivad end turvatööriistadeks või Google Chrome'i värskendusteks. Pärast pahatahtliku taktikaga installimist küsib rakendus kasutajalt juurdepääsuteenuste lubasid, mida see seejärel kasutab kahjulike tegevuste tegemiseks.
Need tegevused hõlmavad esmase kasuliku koormuse juurutamist, kasutaja lukustamist seadme teabe kogumiseks põhiekraanilt ja nende andmete väljafiltreerimist ründaja juhitavasse serverisse. Lisaks kasutab rakendus juurdepääsuteenuste API-d, et koguda ekraanil kuvatavat tundlikku teavet, nagu mandaadid ja pangakonto saldod. See annab endale loa SMS-sõnumite pealtkuulamiseks.
Ohunäitlejad juhivad BingoMod RAT-i otse
Rahaülekannete tegemiseks otse ohustatud seadmetest loob BingoMod pesapõhise ühenduse oma Command-and-Control (C2) infrastruktuuriga. See võimaldab tal vastu võtta kuni 40 kaugkäsku, sealhulgas teha ekraanipilte Androidi Media Projection API kaudu ja suhelda seadmega reaalajas.
BingoModi kasutatav seadmesisese pettuse (ODF) tehnika nõuab, et reaalajas operaator töötleks käsitsi rahaülekandeid kuni 15 000 € (~16 100 dollarit) tehingu kohta, mitte ei kasutaks suuremahuliste finantspettuste jaoks automatiseeritud ülekandesüsteemi (ATS).
Lisaks kasutab pahavara koodi hägustamise tehnikaid ja võib desinstallida suvalised rakendused ohustatud seadmest, mis viitab sellele, et autorid eelistavad tuvastamisest ja lihtsusest kõrvalehoidmist täiustatud funktsioonide ees.
Lisaks reaalajas ekraani juhtimisele on BingoModil ka andmepüügivõimalused ülekatterünnakute ja võltsitud teatiste kaudu. Erinevalt tüüpilistest ülekatterünnakutest, mis käivituvad konkreetsete sihtrakenduste avamisel, algatab BingoMod need rünnakud otse pahavara operaatori kaudu.
