Trojan bancario BingoMod
I ricercatori di sicurezza informatica hanno scoperto un nuovo Trojan di accesso remoto (RAT) Android denominato BingoMod. Questo malware facilita i trasferimenti fraudolenti di denaro da dispositivi infetti e li cancella per eliminare le tracce della sua presenza.
Scoperto alla fine di maggio 2024, si pensa che BingoMod sia attivamente in fase di sviluppo. Il trojan è probabilmente collegato a un autore di minacce di lingua rumena, poiché le prime versioni del codice sorgente contengono commenti scritti in rumeno.
Sommario
Le capacità minacciose del BingoMod RAT
BingoMod fa parte dell'ultima generazione di Trojan di accesso remoto mobile (RAT). Le sue funzionalità avanzate di accesso remoto consentono agli autori delle minacce di eseguire Account Takeover (ATO) direttamente dai dispositivi infetti, utilizzando una tecnica di frode su dispositivo (ODF).
Questo metodo è stato osservato anche in altri trojan bancari Android, come Medusa (noto anche come TangleBot), Copybara e TeaBot (noto anche come Anatsa).
Similmente a BRATA , BingoMod è dotato di un meccanismo di autodistruzione progettato per cancellare le prove di trasferimenti fraudolenti dal dispositivo infetto, complicando l'analisi forense. Anche se questa funzione attualmente interessa solo la memoria esterna del dispositivo, si sospetta che le funzionalità di accesso remoto possano essere utilizzate per avviare un ripristino completo delle impostazioni di fabbrica.
BingoMod entra nei telefoni delle persone con il pretesto di applicazioni apparentemente utili
Alcune delle applicazioni scoperte si mascherano da strumenti di sicurezza o aggiornamenti di Google Chrome. Dopo essere stata installata tramite tattiche di smishing, l'app chiede all'utente le autorizzazioni per i servizi di accessibilità, che poi utilizza per eseguire attività dannose.
Queste attività includono la distribuzione del payload primario, il blocco dell'utente fuori dalla schermata principale per raccogliere informazioni sul dispositivo e l'esfiltrazione di questi dati su un server controllato dall'aggressore. Inoltre, l'applicazione sfrutta l'API dei servizi di accessibilità per raccogliere informazioni sensibili visualizzate sullo schermo, come credenziali e saldi dei conti bancari. Si concede il permesso di intercettare i messaggi SMS.
Gli autori delle minacce gestiscono direttamente BingoMod RAT
Per effettuare trasferimenti di denaro direttamente da dispositivi compromessi, BingoMod stabilisce una connessione basata su socket con la sua infrastruttura di comando e controllo (C2). Ciò gli consente di ricevere fino a 40 comandi remoti, inclusa l'acquisizione di screenshot tramite l'API Media Projection di Android e l'interazione con il dispositivo in tempo reale.
La tecnica On-Device Fraud (ODF) utilizzata da BingoMod richiede che un operatore dal vivo elabori manualmente trasferimenti di denaro fino a € 15.000 (~ $ 16.100) per transazione anziché utilizzare un sistema di trasferimento automatizzato (ATS) per frodi finanziarie su larga scala.
Inoltre, il malware utilizza tecniche di offuscamento del codice e può disinstallare applicazioni arbitrarie dal dispositivo compromesso, suggerendo che gli autori danno priorità all'elusione del rilevamento e alla semplicità rispetto alle funzionalità avanzate.
Oltre al controllo dello schermo in tempo reale, BingoMod dispone anche di funzionalità di phishing tramite attacchi overlay e notifiche false. A differenza dei tipici attacchi overlay che vengono attivati quando vengono aperte applicazioni target specifiche, BingoMod avvia questi attacchi direttamente tramite l'operatore del malware.
