BingoMod 뱅킹 트로이목마

사이버 보안 연구원들이 BingoMod라는 새로운 Android 원격 액세스 트로이 목마(RAT)를 발견했습니다. 이 악성 코드는 감염된 장치에서 사기성 자금 이체를 촉진하고 해당 장치를 삭제하여 존재 흔적을 제거합니다.

2024년 5월 말에 발견된 BingoMod는 활발히 개발 중인 것으로 생각됩니다. 소스 코드의 초기 버전에는 루마니아어로 작성된 주석이 포함되어 있으므로 트로이 목마는 루마니아어를 사용하는 위협 행위자와 연결되었을 가능성이 높습니다.

BingoMod RAT의 위협적인 기능

BingoMod는 최신 모바일 RAT(원격 액세스 트로이 목마) 세대의 일부입니다. 고급 원격 액세스 기능을 통해 위협 행위자는 온디바이스 사기(ODF) 기술을 활용하여 감염된 장치에서 직접 계정 탈취(ATO)를 수행할 수 있습니다.

이 방법은 Medusa (TangleBot이라고도 함), Copybara 및 TeaBot (Anatsa라고도 함)과 같은 다른 Android 뱅킹 트로이 목마에서도 발견되었습니다.

BRATA 와 유사하게 BingoMod는 감염된 장치에서 사기성 전송의 증거를 삭제하여 포렌식 분석을 복잡하게 만들도록 설계된 자체 파괴 메커니즘을 갖추고 있습니다. 이 기능은 현재 장치의 외부 저장소에만 영향을 미치지만 원격 액세스 기능을 사용하여 전체 공장 초기화를 시작할 수 있는 것으로 의심됩니다.

BingoMod는 겉보기에 유용한 애플리케이션으로 가장하여 사람들의 휴대폰 내부로 들어갑니다.

발견된 애플리케이션 중 일부는 자신을 보안 도구나 Google Chrome 업데이트로 위장합니다. 스미싱 전술을 통해 설치된 앱은 사용자에게 접근성 서비스 권한을 요청한 다음 유해한 활동을 수행하는 데 사용합니다.

이러한 활동에는 기본 페이로드 배포, 장치 정보 수집을 위해 사용자를 기본 화면에서 잠그는 것, 이 데이터를 공격자가 제어하는 서버로 유출하는 것이 포함됩니다. 또한 애플리케이션은 접근성 서비스 API를 활용하여 자격 증명 및 은행 계좌 잔액과 같이 화면에 표시되는 민감한 정보를 수집합니다. SMS 메시지를 가로챌 수 있는 권한을 자체적으로 부여합니다.

위협 행위자는 BingoMod RAT를 직접 운영합니다.

손상된 장치에서 직접 자금 이체를 수행하기 위해 BingoMod는 명령 및 제어(C2) 인프라와 소켓 기반 연결을 설정합니다. 이를 통해 Android의 Media Projection API를 통해 스크린샷을 찍고 장치와 실시간으로 상호 작용하는 것을 포함하여 최대 40개의 원격 명령을 수신할 수 있습니다.

BingoMod에서 사용하는 ODF(온디바이스 사기) 기술을 사용하려면 대규모 금융 사기에 대해 자동 이체 시스템(ATS)을 사용하는 대신 실제 운영자가 거래당 최대 €15,000(~$16,100)의 자금 이체를 수동으로 처리해야 합니다.

또한 악성 코드는 코드 난독화 기술을 사용하고 손상된 장치에서 임의의 애플리케이션을 제거할 수 있습니다. 이는 작성자가 고급 기능보다 탐지 회피 및 단순성을 우선시한다는 것을 암시합니다.

실시간 화면 제어 외에도 BingoMod에는 오버레이 공격 및 가짜 알림을 통한 피싱 기능도 있습니다. 특정 대상 애플리케이션이 열릴 때 트리거되는 일반적인 오버레이 공격과 달리 BingoMod는 악성 코드 운영자를 통해 직접 이러한 공격을 시작합니다.