BingoMod בנקאי טרויאני
חוקרי אבטחת סייבר גילו טרויאני חדש לגישה מרחוק של אנדרואיד (RAT) בשם BingoMod. תוכנה זדונית זו מאפשרת העברות כספים מזויפות ממכשירים נגועים ומנגבת אותם כדי למנוע עקבות של נוכחותה.
BingoMod, שנחשף בסוף מאי 2024, נחשב בפיתוח פעיל. הטרויאני כנראה מקושר לשחקן איום דובר רומנית, שכן גרסאות מוקדמות של קוד המקור מכילות הערות שנכתבו ברומנית.
תוכן העניינים
היכולות המאיימות של BingoMod RAT
BingoMod הוא חלק מהדור האחרון של סוסים טרויאניים בגישה מרחוק לנייד (RATs). יכולות הגישה המתקדמות שלה מרחוק מאפשרות לשחקני איומים לבצע השתלטות על חשבון (ATOs) ישירות ממכשירים נגועים, תוך שימוש בטכניקת הונאה במכשיר (ODF).
שיטה זו נראתה גם בטרויאנים בנקאיים אחרים של אנדרואיד, כגון מדוזה (הידועה גם בשם TangleBot), Copybara ו- TeaBot (הידועה גם בשם Anatsa).
בדומה ל- BRATA , BingoMod כולל מנגנון הרס עצמי שנועד למחוק עדויות להעברות הונאה מהמכשיר הנגוע, מה שמסבך את הניתוח הפורנזי. בעוד שפונקציה זו משפיעה כעת רק על האחסון החיצוני של המכשיר, יש חשד שניתן להשתמש ביכולות הגישה מרחוק כדי להתחיל איפוס מלא להגדרות היצרן.
BingoMod נכנס לטלפונים של אנשים במסווה של יישומים שימושיים לכאורה
חלק מהיישומים שהתגלו מתחפשים לכלי אבטחה או עדכוני Google Chrome. לאחר התקנת האפליקציה באמצעות טקטיקות Smishing, האפליקציה מבקשת מהמשתמש הרשאות שירותי נגישות, שבהן היא משתמשת לביצוע פעילויות מזיקות.
פעילויות אלו כוללות פריסת המטען הראשי, נעילת המשתמש מחוץ למסך הראשי כדי לאסוף מידע על המכשיר, והעברת נתונים אלה לשרת הנשלט על ידי התוקף. בנוסף, האפליקציה מנצלת את ה-API של שירותי הנגישות כדי לאסוף מידע רגיש המוצג על המסך, כגון אישורים ויתרות בחשבון הבנק. היא מעניקה לעצמה רשות ליירט הודעות SMS.
שחקני איומים מפעילים את BingoMod RAT ישירות
כדי לבצע העברות כספים ישירות ממכשירים שנפגעו, BingoMod יוצר חיבור מבוסס שקעים עם תשתית ה-Command-and-Control (C2) שלו. זה מאפשר לו לקבל עד 40 פקודות מרחוק, כולל צילום מסך דרך ה-API של Media Projection של אנדרואיד ואינטראקציה עם המכשיר בזמן אמת.
טכניקת ההונאה במכשיר (ODF) המשמשת את BingoMod דורשת ממפעיל חי לעבד באופן ידני העברות כספים של עד 15,000 אירו (~16,100$) לכל עסקה במקום להשתמש במערכת העברה אוטומטית (ATS) עבור הונאה פיננסית בקנה מידה גדול.
בנוסף, התוכנה הזדונית משתמשת בטכניקות ערפול קוד ויכולה להסיר התקנה של יישומים שרירותיים מהמכשיר שנפרץ, מה שמצביע על כך שהכותבים נותנים עדיפות להתחמקות מזיהוי ופשטות על פני תכונות מתקדמות.
מעבר לשליטה במסך בזמן אמת, ל- BingoMod יש גם יכולות דיוג באמצעות התקפות Overlay והודעות מזויפות. שלא כמו התקפות שכבת-על טיפוסיות המופעלות כאשר יישומי יעד ספציפיים נפתחים, BingoMod יוזם התקפות אלו ישירות דרך מפעיל התוכנה הזדונית.
