BingoMod Banking Trojan

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ Android Remote Access Trojan (RAT) ថ្មីមួយដែលមានឈ្មោះថា BingoMod ។ មេរោគនេះជួយសម្រួលដល់ការផ្ទេរប្រាក់ក្លែងបន្លំពីឧបករណ៍ដែលមានមេរោគ និងលុបពួកវាដើម្បីលុបបំបាត់ដាននៃវត្តមានរបស់វា។

បានរកឃើញនៅចុងខែឧសភា ឆ្នាំ 2024 BingoMod ត្រូវបានគេគិតថាកំពុងស្ថិតក្រោមការអភិវឌ្ឍន៍យ៉ាងសកម្ម។ Trojan ទំនង​ជា​ត្រូវ​បាន​គេ​ភ្ជាប់​ទៅ​នឹង​តួអង្គ​គំរាម​កំហែង​និយាយ​ភាសា​រ៉ូម៉ានី ព្រោះ​កំណែ​ដើម​នៃ​កូដ​ប្រភព​មាន​មតិ​សរសេរ​ជា​ភាសា​រ៉ូម៉ានី។

សមត្ថភាពគំរាមកំហែងនៃ BingoMod RAT

BingoMod គឺជាផ្នែកមួយនៃជំនាន់ទូរស័ព្ទចល័ត Trojans (RATs) ចុងក្រោយបំផុត។ សមត្ថភាពចូលប្រើពីចម្ងាយកម្រិតខ្ពស់របស់វាធ្វើឱ្យតួអង្គគំរាមកំហែងអាចអនុវត្តការយកគណនី (ATOs) ដោយផ្ទាល់ពីឧបករណ៍ដែលមានមេរោគ ដោយប្រើបច្ចេកទេសក្លែងបន្លំនៅលើឧបករណ៍ (ODF) ។

វិធីសាស្រ្តនេះត្រូវបានគេមើលឃើញផងដែរនៅក្នុង trojans ធនាគារ Android ផ្សេងទៀតដូចជា Medusa (ត្រូវបានគេស្គាល់ផងដែរថាជា TangleBot), Copybara និង TeaBot (ត្រូវបានគេស្គាល់ផងដែរថាជា Anatsa) ។

ស្រដៀងទៅនឹង BRATA ដែរ BingoMod មានយន្តការបំផ្លាញខ្លួនឯងដែលត្រូវបានរចនាឡើងដើម្បីលុបភស្តុតាងនៃការផ្ទេរការក្លែងបន្លំពីឧបករណ៍ដែលមានមេរោគ ដែលធ្វើអោយមានភាពស្មុគស្មាញដល់ការវិភាគផ្នែកកោសល្យវិច្ច័យ។ ខណៈពេលដែលមុខងារនេះបច្ចុប្បន្នប៉ះពាល់តែកន្លែងផ្ទុកខាងក្រៅរបស់ឧបករណ៍ វាត្រូវបានសង្ស័យថាសមត្ថភាពចូលប្រើពីចម្ងាយអាចត្រូវបានប្រើដើម្បីចាប់ផ្តើមការកំណត់ឡើងវិញទាំងស្រុងពីរោងចក្រ។

BingoMod ទទួលបាននៅខាងក្នុងទូរស័ព្ទរបស់មនុស្សក្រោមការយល់ឃើញនៃកម្មវិធីដែលហាក់ដូចជាមានប្រយោជន៍

កម្មវិធីដែលបានរកឃើញមួយចំនួនបន្លំខ្លួនជាឧបករណ៍សុវត្ថិភាព ឬការធ្វើបច្ចុប្បន្នភាព Google Chrome ។ បន្ទាប់ពីត្រូវបានដំឡើងតាមរយៈល្បិចកលល្បិច កម្មវិធីនេះសួរអ្នកប្រើប្រាស់សម្រាប់ការអនុញ្ញាតសេវាកម្មភាពងាយស្រួល ដែលបន្ទាប់មកវាប្រើដើម្បីធ្វើសកម្មភាពបង្កគ្រោះថ្នាក់។

សកម្មភាពទាំងនេះរួមមាន ការដាក់ពង្រាយបន្ទុកចម្បង ការចាក់សោអ្នកប្រើប្រាស់ចេញពីអេក្រង់មេ ដើម្បីប្រមូលព័ត៌មានឧបករណ៍ និងការបង្ហូរទិន្នន័យនេះទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ លើសពីនេះ កម្មវិធីប្រើប្រាស់ API សេវាកម្មភាពងាយស្រួល ដើម្បីប្រមូលព័ត៌មានរសើបដែលបង្ហាញនៅលើអេក្រង់ ដូចជាព័ត៌មានសម្ងាត់ និងសមតុល្យគណនីធនាគារជាដើម។ វាផ្តល់ការអនុញ្ញាតឱ្យខ្លួនវាស្ទាក់ចាប់សារ SMS ។

Threat Actors ដំណើរការ BingoMod RAT ដោយផ្ទាល់

ដើម្បីអនុវត្តការផ្ទេរប្រាក់ដោយផ្ទាល់ពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល BingoMod បង្កើតការតភ្ជាប់ផ្អែកលើរន្ធជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់វា។ នេះអនុញ្ញាតឱ្យវាទទួលបានពាក្យបញ្ជាពីចម្ងាយរហូតដល់ 40 រួមទាំងការថតអេក្រង់តាមរយៈ Media Projection API របស់ Android និងធ្វើអន្តរកម្មជាមួយឧបករណ៍ក្នុងពេលវេលាជាក់ស្តែង។

បច្ចេកទេសនៃការក្លែងបន្លំនៅលើឧបករណ៍ (ODF) ដែលប្រើប្រាស់ដោយ BingoMod តម្រូវឱ្យប្រតិបត្តិករផ្ទាល់ដើម្បីដំណើរការការផ្ទេរប្រាក់ដោយដៃរហូតដល់ €15,000 (~$16,100) ក្នុងមួយប្រតិបត្តិការ ជាជាងការប្រើប្រាស់ប្រព័ន្ធផ្ទេរប្រាក់ស្វ័យប្រវត្តិ (ATS) សម្រាប់ការក្លែងបន្លំហិរញ្ញវត្ថុទ្រង់ទ្រាយធំ។

លើសពីនេះ មេរោគប្រើបច្ចេកទេសធ្វើឱ្យខូចកូដ និងអាចលុបកម្មវិធីបំពានចេញពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ដោយស្នើឱ្យអ្នកនិពន្ធផ្តល់អាទិភាពឱ្យគេចចេញពីការរកឃើញ និងភាពសាមញ្ញជាងមុខងារកម្រិតខ្ពស់។

លើសពីការគ្រប់គ្រងអេក្រង់តាមពេលវេលាជាក់ស្តែង BingoMod ក៏មានសមត្ថភាពបន្លំតាមរយៈការវាយប្រហារពីលើ និងការជូនដំណឹងក្លែងក្លាយផងដែរ។ មិនដូចការវាយប្រហារជាន់គ្នាធម្មតាដែលត្រូវបានបង្កឡើងនៅពេលដែលកម្មវិធីគោលដៅជាក់លាក់ត្រូវបានបើក BingoMod ផ្តួចផ្តើមការវាយប្រហារទាំងនេះដោយផ្ទាល់តាមរយៈប្រតិបត្តិករមេរោគ។