BingoMod bankininkystės Trojos arklys
Kibernetinio saugumo tyrėjai atrado naują Android nuotolinės prieigos Trojos arklys (RAT), pavadintas BingoMod. Ši kenkėjiška programa palengvina apgaulingą pinigų pervedimą iš užkrėstų įrenginių ir nuvalo juos, kad pašalintų jos buvimo pėdsakus.
Manoma, kad 2024 m. gegužės pabaigoje atskleistas „BingoMod“ yra aktyviai kuriamas. Trojos arklys greičiausiai yra susijęs su rumuniškai kalbančiu grėsmės veikėju, nes ankstyvosiose šaltinio kodo versijose yra komentarų, parašytų rumunų kalba.
Turinys
Grėsmingos BingoMod RAT galimybės
BingoMod yra naujausios mobiliosios nuotolinės prieigos Trojos arklys (RAT) kartos dalis. Pažangios nuotolinės prieigos galimybės leidžia grėsmės subjektams atlikti paskyros perėmimą (ATO) tiesiai iš užkrėstų įrenginių, naudojant sukčiavimo įrenginyje (ODF) techniką.
Šis metodas taip pat buvo pastebėtas kituose Android bankininkystės Trojos arklys, pvz., Medusa (taip pat žinomas kaip TangleBot), Copybara ir TeaBot (taip pat žinomas kaip Anatsa).
Panašiai kaip BRATA , BingoMod turi savaiminio naikinimo mechanizmą, skirtą ištrinti apgaulingo perdavimo įrodymus iš užkrėsto įrenginio, apsunkinantį teismo ekspertizę. Nors šiuo metu ši funkcija veikia tik išorinę įrenginio atmintį, įtariama, kad nuotolinės prieigos galimybės gali būti naudojamos norint pradėti visišką gamyklinių parametrų atkūrimą.
„BingoMod“ patenka į žmonių telefonus prisidengus iš pažiūros naudingomis programomis
Kai kurios aptiktos programos prisidengia saugos įrankiais arba „Google Chrome“ naujiniais. Įdiegta taikant „smishing“ taktiką, programa prašo vartotojo pritaikymo neįgaliesiems paslaugų leidimų, kuriuos ji naudoja žalingai veiklai atlikti.
Ši veikla apima pirminės naudingosios apkrovos diegimą, vartotojo užrakinimą pagrindiniame ekrane, kad jis rinktų informaciją apie įrenginį, ir šių duomenų išfiltravimą į užpuoliko valdomą serverį. Be to, programa naudoja pritaikymo neįgaliesiems paslaugų API, kad surinktų slaptą informaciją, rodomą ekrane, pvz., kredencialus ir banko sąskaitų likučius. Ji suteikia sau leidimą perimti SMS žinutes.
Grėsmės aktoriai tiesiogiai valdo „BingoMod RAT“.
Norėdami atlikti pinigų pervedimus tiesiai iš pažeistų įrenginių, „BingoMod“ užmezga lizdo ryšį su savo „Command-and-Control“ (C2) infrastruktūra. Tai leidžia gauti iki 40 nuotolinių komandų, įskaitant ekrano kopijas naudojant „Android Media Projection“ API ir sąveiką su įrenginiu realiuoju laiku.
Naudojant „BingoMod“ naudojamą sukčiavimo įrenginyje (ODF) techniką, tiesioginis operatorius turi rankiniu būdu apdoroti pinigų pervedimus iki 15 000 EUR (~16 100 USD) už vieną operaciją, o ne naudoti automatizuotą pervedimo sistemą (ATS) didelio masto finansiniam sukčiavimui.
Be to, kenkėjiška programinė įranga naudoja kodo užmaskavimo metodus ir gali pašalinti savavališkas programas iš pažeisto įrenginio, o tai rodo, kad autoriai pirmenybę teikia aptikimo išvengimui ir paprastumui, o ne pažangioms funkcijoms.
Be ekrano valdymo realiuoju laiku, „BingoMod“ taip pat turi sukčiavimo galimybes per perdangos atakas ir netikrus pranešimus. Skirtingai nuo įprastų perdangos atakų, kurios suveikia atidarius konkrečias tikslines programas, BingoMod inicijuoja šias atakas tiesiogiai per kenkėjiškų programų operatorių.
