تروجان بانکی BingoMod

محققان امنیت سایبری یک تروجان دسترسی از راه دور اندروید (RAT) جدید به نام BingoMod را کشف کردند. این بدافزار انتقال پول جعلی از دستگاه‌های آلوده را تسهیل می‌کند و آنها را پاک می‌کند تا آثار حضور خود را از بین ببرد.

تصور می‌شود که BingoMod که در اواخر ماه مه 2024 معرفی شد، به طور فعال در حال توسعه است. تروجان احتمالاً به یک عامل تهدید رومانیایی زبان مرتبط است، زیرا نسخه های اولیه کد منبع حاوی نظراتی است که به زبان رومانیایی نوشته شده است.

قابلیت های تهدید آمیز BingoMod RAT

BingoMod بخشی از آخرین نسل تروجان های دسترسی از راه دور تلفن همراه (RATs) است. قابلیت‌های دسترسی از راه دور پیشرفته آن، عوامل تهدید را قادر می‌سازد تا با استفاده از تکنیک کلاهبرداری روی دستگاه (ODF)، تصرفات حساب (ATO) را مستقیماً از دستگاه‌های آلوده انجام دهند.

این روش در سایر تروجان های بانکی اندروید مانند مدوسا (همچنین با نام های TangleBot)، Copybara و TeaBot (همچنین با نام Anatsa شناخته می شود) دیده شده است.

مشابه BRATA ، BingoMod دارای یک مکانیسم خود تخریبی است که برای پاک کردن شواهد مربوط به نقل و انتقالات جعلی از دستگاه آلوده طراحی شده است و تجزیه و تحلیل پزشکی قانونی را پیچیده می کند. در حالی که این عملکرد در حال حاضر فقط بر حافظه خارجی دستگاه تأثیر می گذارد، گمان می رود که از قابلیت های دسترسی از راه دور برای شروع بازنشانی کامل کارخانه استفاده شود.

BingoMod به بهانه برنامه های کاربردی به ظاهر مفید وارد تلفن های مردم می شود

برخی از برنامه های کشف شده خود را به عنوان ابزار امنیتی یا به روز رسانی Google Chrome پنهان می کنند. پس از نصب از طریق تاکتیک‌های smishing، برنامه از کاربر مجوز سرویس‌های دسترسی می‌خواهد که سپس از آن برای انجام فعالیت‌های مضر استفاده می‌کند.

این فعالیت‌ها شامل استقرار بار اولیه، قفل کردن کاربر از صفحه اصلی برای جمع‌آوری اطلاعات دستگاه و استخراج این داده‌ها به سروری است که توسط مهاجم کنترل می‌شود. علاوه بر این، برنامه از API سرویس های دسترسی برای جمع آوری اطلاعات حساس نمایش داده شده روی صفحه مانند اعتبارنامه ها و موجودی حساب های بانکی سوء استفاده می کند. به خود اجازه می دهد پیام های SMS را رهگیری کند.

عوامل تهدید مستقیماً از BingoMod RAT استفاده می کنند

برای انجام انتقال مستقیم پول از دستگاه های در معرض خطر، BingoMod یک اتصال مبتنی بر سوکت با زیرساخت Command-and-Control (C2) خود برقرار می کند. این به آن اجازه می دهد تا حداکثر 40 فرمان از راه دور را دریافت کند، از جمله گرفتن اسکرین شات از طریق Media Projection API Android و تعامل با دستگاه در زمان واقعی.

تکنیک تقلب روی دستگاه (ODF) که توسط BingoMod استفاده می‌شود، به یک اپراتور زنده نیاز دارد که به‌جای استفاده از سیستم انتقال خودکار (ATS) برای کلاهبرداری‌های مالی در مقیاس بزرگ، انتقال پول تا سقف ۱۵۰۰۰ یورو (~۱۶۱۰۰ دلار) را به‌صورت دستی پردازش کند.

علاوه بر این، این بدافزار از تکنیک‌های مبهم سازی کد استفاده می‌کند و می‌تواند برنامه‌های کاربردی دلخواه را از دستگاه آسیب‌دیده حذف نصب کند، که نشان می‌دهد نویسندگان اجتناب از تشخیص و سادگی را به ویژگی‌های پیشرفته ترجیح می‌دهند.

فراتر از کنترل زمان واقعی صفحه، BingoMod همچنین دارای قابلیت های فیشینگ از طریق Overlay Attacks و اعلان های جعلی است. برخلاف حملات همپوشانی معمولی که با باز شدن برنامه‌های هدف خاص آغاز می‌شوند، BingoMod این حملات را مستقیماً از طریق اپراتور بدافزار آغاز می‌کند.