BingoMod bankarski trojanac
Istraživači kibernetičke sigurnosti otkrili su novi Android Trojan za udaljeni pristup (RAT) pod nazivom BingoMod. Ovaj zlonamjerni softver omogućuje lažne prijenose novca sa zaraženih uređaja i briše ih kako bi uklonio tragove svoje prisutnosti.
Otkriven krajem svibnja 2024., smatra se da je BingoMod u aktivnom razvoju. Trojanac je vjerojatno povezan s akterom prijetnje koji govori rumunjski jer rane verzije izvornog koda sadrže komentare napisane na rumunjskom.
Sadržaj
Prijeteće mogućnosti BingoMod RAT-a
BingoMod je dio najnovije generacije mobilnih trojanaca s udaljenim pristupom (RAT). Njegove napredne mogućnosti daljinskog pristupa omogućuju akterima prijetnji da izvrše preuzimanje računa (ATO) izravno sa zaraženih uređaja, koristeći tehniku prijevare na uređaju (ODF).
Ova metoda također je viđena u drugim bankovnim trojancima za Android, kao što su Medusa (također poznat kao TangleBot), Copybara i TeaBot (također poznat kao Anatsa).
Slično BRATA- i, BingoMod ima mehanizam samouništenja dizajniran da izbriše dokaze o lažnim prijenosima sa zaraženog uređaja, komplicirajući forenzičku analizu. Iako ova funkcija trenutno utječe samo na vanjsku pohranu uređaja, sumnja se da bi se mogućnosti daljinskog pristupa mogle koristiti za pokretanje potpunog vraćanja na tvorničke postavke.
BingoMod ulazi u ljudske telefone pod krinkom naizgled korisnih aplikacija
Neke od otkrivenih aplikacija maskiraju se u sigurnosne alate ili ažuriranja Google Chromea. Nakon što se instalira kroz taktiku smishinga, aplikacija od korisnika traži dopuštenja usluga pristupačnosti, koja zatim koristi za izvođenje štetnih aktivnosti.
Ove aktivnosti uključuju implementaciju primarnog korisnog opterećenja, zaključavanje korisnika s glavnog zaslona radi prikupljanja informacija o uređaju i eksfiltraciju tih podataka na poslužitelj kojim upravlja napadač. Osim toga, aplikacija iskorištava API usluga pristupačnosti za prikupljanje osjetljivih informacija prikazanih na zaslonu, poput vjerodajnica i stanja na bankovnom računu. Sam sebi daje dopuštenje za presretanje SMS poruka.
Akteri prijetnji upravljaju BingoMod RAT-om izravno
Za izvođenje prijenosa novca izravno s kompromitiranih uređaja, BingoMod uspostavlja vezu temeljenu na utičnici sa svojom Command-and-Control (C2) infrastrukturom. To mu omogućuje primanje do 40 daljinskih naredbi, uključujući snimanje zaslona putem Android Media Projection API-ja i interakciju s uređajem u stvarnom vremenu.
Tehnika prijevare na uređaju (ODF) koju koristi BingoMod zahtijeva od živog operatera da ručno obrađuje novčane prijenose do 15.000 € (~16.100 $) po transakciji umjesto da koristi sustav automatiziranog prijenosa (ATS) za velike financijske prijevare.
Osim toga, zlonamjerni softver koristi tehnike maskiranja koda i može deinstalirati proizvoljne aplikacije s kompromitiranog uređaja, što sugerira da autori daju prednost izbjegavanju otkrivanja i jednostavnosti nad naprednim značajkama.
Osim kontrole zaslona u stvarnom vremenu, BingoMod također ima mogućnosti krađe identiteta kroz Overlay Attacks i lažne obavijesti. Za razliku od tipičnih napada preklapanja koji se pokreću kada se otvore specifične ciljne aplikacije, BingoMod pokreće te napade izravno preko operatera zlonamjernog softvera.
