BingoMod Banking Troijalainen
Kyberturvallisuustutkijat ovat löytäneet uuden Android Remote Access Trojan (RAT) -nimisen BingoModin. Tämä haittaohjelma helpottaa vilpillisiä rahansiirtoja tartunnan saaneilta laitteilta ja pyyhkii ne poistamaan jäljet sen esiintymisestä.
Toukokuun lopulla 2024 paljastetun BingoModin uskotaan olevan aktiivisesti kehitteillä. Troijalainen liittyy todennäköisesti romaniaa puhuvaan uhkatekijään, koska lähdekoodin varhaiset versiot sisältävät romaniaksi kirjoitettuja kommentteja.
Sisällysluettelo
BingoMod RATin uhkaavat ominaisuudet
BingoMod on osa uusinta mobiilietäkäyttötroijalaisten (RAT) sukupolvea. Sen edistyneet etäkäyttöominaisuudet antavat uhkatoimijoille mahdollisuuden suorittaa tilien haltuunottoja (ATO) suoraan tartunnan saaneilta laitteilta käyttämällä laitteessa olevaa petostekniikkaa (ODF).
Tämä menetelmä on nähty myös muissa Android-pankkitroijalaisissa, kuten Medusassa (tunnetaan myös nimellä TangleBot), Copybarassa ja TeaBotissa (tunnetaan myös nimellä Anatsa).
Kuten BRATA , BingoMod sisältää itsetuhomekanismin, joka on suunniteltu poistamaan todisteet vilpillisistä siirroista tartunnan saaneelta laitteelta, mikä vaikeuttaa rikosteknistä analyysiä. Vaikka tämä toiminto vaikuttaa tällä hetkellä vain laitteen ulkoiseen tallennustilaan, epäillään, että etäkäyttöominaisuuksia voitaisiin käyttää tehdasasetusten palauttamiseen.
BingoMod pääsee ihmisten puhelimiin hyödyllisiltä vaikuttavien sovellusten varjolla
Jotkut löydetyistä sovelluksista naamioituvat tietoturvatyökaluiksi tai Google Chrome -päivityksiksi. Asennuksen jälkeen sovellus pyytää käyttäjältä esteettömyyspalvelujen käyttöoikeuksia, joita se sitten käyttää haitallisten toimintojen suorittamiseen.
Näihin toimintoihin kuuluu ensisijaisen hyötykuorman käyttöönotto, käyttäjän lukitseminen päänäytöltä laitteen tietojen keräämistä varten ja näiden tietojen suodattaminen hyökkääjän hallitsemalle palvelimelle. Lisäksi sovellus hyödyntää saavutettavuuspalvelujen APIa kerätäkseen näytöllä näkyviä arkaluontoisia tietoja, kuten valtuustietoja ja pankkitilin saldoja. Se myöntää itselleen luvan siepata tekstiviestejä.
Uhkanäyttelijät käyttävät BingoMod RATia suoraan
Suorittaakseen rahansiirrot suoraan vaarantuneista laitteista BingoMod muodostaa pistorasiapohjaisen yhteyden Command-and-Control (C2) -infrastruktuuriinsa. Tämän ansiosta se voi vastaanottaa jopa 40 etäkomentoa, mukaan lukien kuvakaappausten ottaminen Androidin Media Projection API:n kautta ja vuorovaikutus laitteen kanssa reaaliajassa.
BingoModin käyttämä On-Device Fraud (ODF) -tekniikka edellyttää, että live-operaattori käsittelee manuaalisesti jopa 15 000 euron (noin 16 100 dollarin) rahansiirrot tapahtumaa kohden sen sijaan, että käyttäisivät automaattista siirtojärjestelmää (ATS) laajamittaiseen talouspetokseen.
Lisäksi haittaohjelma käyttää koodin hämärtymistekniikoita ja voi poistaa mielivaltaisia sovelluksia vaarantuneelta laitteelta, mikä viittaa siihen, että tekijät asettavat havaitsemisen välttämisen ja yksinkertaisuuden etusijalle edistyneiden ominaisuuksien sijaan.
Reaaliaikaisen näytönohjauksen lisäksi BingoModilla on myös tietojenkalastelutoimintoja peittohyökkäysten ja väärennettyjen ilmoitusten kautta. Toisin kuin tyypilliset peittohyökkäykset, jotka käynnistyvät, kun tiettyjä kohdesovelluksia avataan, BingoMod käynnistää nämä hyökkäykset suoraan haittaohjelmaoperaattorin kautta.
