BingoMod Banking trójai
A kiberbiztonsági kutatók egy új Android Remote Access Trojan (RAT) nevű BingoMod nevű trójai programot fedeztek fel. Ez a rosszindulatú program megkönnyíti a csalárd pénzátutalásokat a fertőzött eszközökről, és törli azokat, hogy megszüntesse jelenlétének nyomait.
A 2024 májusának végén lelepleződött BingoModról azt gondolják, hogy aktív fejlesztés alatt áll. A trójai valószínűleg egy románul beszélő fenyegetés szereplőjéhez köthető, mivel a forráskód korai verziói román nyelvű megjegyzéseket tartalmaznak.
Tartalomjegyzék
A BingoMod RAT fenyegető képességei
A BingoMod a mobil távoli hozzáférésű trójaiak (RAT) legújabb generációjának része. Speciális távoli hozzáférési képességei lehetővé teszik a fenyegetettség szereplői számára, hogy közvetlenül a fertőzött eszközökről hajtsanak végre fiókátvételt (ATO-k), egy eszközön belüli csalási (ODF) technikát használva.
Ezt a módszert más Android banki trójai programokban is tapasztalták, mint például a Medusa (más néven TangleBot), a Copybara és a TeaBot (más néven Anatsa).
A BRATA -hoz hasonlóan a BingoMod egy önmegsemmisítő mechanizmussal rendelkezik, amelynek célja a csalárd átvitelek bizonyítékainak törlése a fertőzött eszközről, ami megnehezíti a törvényszéki elemzést. Bár ez a funkció jelenleg csak az eszköz külső tárhelyét érinti, feltételezhető, hogy a távoli hozzáférési képességek segítségével elindítható a teljes gyári alaphelyzetbe állítás.
A BingoMod hasznosnak tűnő alkalmazások leple alatt bekerül az emberek telefonjaiba
A felfedezett alkalmazások egy része biztonsági eszköznek vagy Google Chrome frissítésnek álcázza magát. Az elpusztító taktikával történő telepítés után az alkalmazás hozzáférési szolgáltatások engedélyeit kéri a felhasználótól, amelyeket aztán káros tevékenységek végrehajtására használ fel.
Ezek közé a tevékenységek közé tartozik az elsődleges hasznos adat telepítése, a felhasználó kizárása a fő képernyőről az eszközinformációk gyűjtése érdekében, valamint az adatok kiszűrése a támadó által irányított szerverre. Ezenkívül az alkalmazás az akadálymentesítési szolgáltatások API-ját használja a képernyőn megjelenő érzékeny információk, például hitelesítő adatok és bankszámlaegyenlegek begyűjtésére. Engedélyt ad magának az SMS-ek lehallgatására.
A fenyegető szereplők közvetlenül működtetik a BingoMod RAT-ot
A feltört eszközökről történő közvetlen pénzátutalások végrehajtásához a BingoMod socket-alapú kapcsolatot hoz létre a Command-and-Control (C2) infrastruktúrájával. Ez lehetővé teszi akár 40 távoli parancs fogadását, beleértve a képernyőképek készítését az Android Media Projection API-ján keresztül, valamint az eszközzel való valós idejű interakciót.
A BingoMod által használt On-Device Fraud (ODF) technika megköveteli, hogy egy élő operátor kézzel dolgozza fel tranzakciónként legfeljebb 15 000 € (~16 100 USD) pénzátutalást, ahelyett, hogy automatizált átutalási rendszert (ATS) használna nagyszabású pénzügyi csaláshoz.
Ezenkívül a rosszindulatú program kódzavarás technikákat alkalmaz, és tetszőleges alkalmazásokat tud eltávolítani a feltört eszközről, ami arra utal, hogy a szerzők az észlelés elkerülését és az egyszerűséget helyezik előtérbe a fejlett funkciókkal szemben.
A valós idejű képernyővezérlésen túl a BingoMod adathalász képességekkel is rendelkezik az Overlay támadásokon és a hamis értesítéseken keresztül. Ellentétben a tipikus átfedő támadásokkal, amelyek meghatározott célalkalmazások megnyitásakor indulnak el, a BingoMod közvetlenül a rosszindulatú program kezelőjén keresztül kezdeményezi ezeket a támadásokat.
