BingoMod Banking Trojas zirgs
Kiberdrošības pētnieki ir atklājuši jaunu Android attālās piekļuves Trojas zirgu (RAT) ar nosaukumu BingoMod. Šī ļaunprogrammatūra atvieglo krāpnieciskus naudas pārskaitījumus no inficētām ierīcēm un notīra tās, lai novērstu tās klātbūtnes pēdas.
Tiek uzskatīts, ka BingoMod, kas tika atklāts 2024. gada maija beigās, tiek aktīvi izstrādāts. Trojas zirgs, visticamāk, ir saistīts ar rumāņu valodā runājošu draudu dalībnieku, jo sākotnējās avota koda versijās ir komentāri, kas rakstīti rumāņu valodā.
Satura rādītājs
BingoMod RAT draudošās iespējas
BingoMod ir daļa no jaunākās mobilās attālās piekļuves Trojas zirgu (RAT) paaudzes. Tā uzlabotās attālās piekļuves iespējas ļauj apdraudējuma dalībniekiem veikt kontu pārņemšanu (ATO) tieši no inficētām ierīcēm, izmantojot ierīcē iebūvētu krāpšanas (ODF) paņēmienu.
Šī metode ir novērota arī citos Android banku Trojas zirgos, piemēram, Medusa (pazīstams arī kā TangleBot), Copybara un TeaBot (pazīstams arī kā Anatsa).
Līdzīgi kā BRATA , BingoMod piedāvā pašiznīcināšanas mehānismu, kas paredzēts, lai izdzēstu pierādījumus par krāpniecisku pārsūtīšanu no inficētās ierīces, kas sarežģī kriminālistikas analīzi. Lai gan šī funkcija pašlaik ietekmē tikai ierīces ārējo krātuvi, pastāv aizdomas, ka attālās piekļuves iespējas var izmantot, lai sāktu pilnu rūpnīcas datu atiestatīšanu.
BingoMod nokļūst cilvēku tālruņos šķietami noderīgu lietojumprogrammu aizsegā
Dažas no atklātajām lietojumprogrammām maskējas kā drošības rīki vai Google Chrome atjauninājumi. Pēc instalēšanas, izmantojot satriecošu taktiku, lietotne pieprasa lietotājam pieejamības pakalpojumu atļaujas, kuras tā pēc tam izmanto kaitīgu darbību veikšanai.
Šīs darbības ietver primārās slodzes izvietošanu, lietotāja bloķēšanu no galvenā ekrāna, lai apkopotu ierīces informāciju, un šo datu izfiltrēšanu uz uzbrucēja kontrolētu serveri. Turklāt lietojumprogramma izmanto pieejamības pakalpojumu API, lai ievāktu ekrānā redzamo sensitīvo informāciju, piemēram, akreditācijas datus un bankas kontu atlikumus. Tā piešķir sev atļauju pārtvert SMS ziņas.
Draudi aktieri vada BingoMod RAT tieši
Lai veiktu naudas pārskaitījumus tieši no apdraudētām ierīcēm, BingoMod izveido uz ligzdām balstītu savienojumu ar savu Command-and-Control (C2) infrastruktūru. Tas ļauj tai saņemt līdz pat 40 tālvadības komandām, tostarp ekrānuzņēmumu uzņemšanu, izmantojot Android Media Projection API, un mijiedarboties ar ierīci reāllaikā.
Lai izmantotu BingoMod izmantoto krāpšanas paņēmienu ierīcē (ODF), reāllaika operatoram ir manuāli jāapstrādā naudas pārskaitījumi līdz 15 000 eiro apmērā (apmēram 16 100 ASV dolāru) par katru darījumu, nevis liela mēroga finanšu krāpšanai izmantot automatizēto pārskaitījumu sistēmu (ATS).
Turklāt ļaunprogrammatūra izmanto koda aptumšošanas paņēmienus un var atinstalēt patvaļīgas lietojumprogrammas no apdraudētās ierīces, liekot domāt, ka autori par prioritāti piešķir izvairīšanos no atklāšanas un vienkāršības, nevis uzlabotas funkcijas.
Papildus reāllaika ekrāna kontrolei BingoMod ir arī pikšķerēšanas iespējas, izmantojot pārklājuma uzbrukumus un viltus paziņojumus. Atšķirībā no tipiskiem pārklājuma uzbrukumiem, kas tiek aktivizēti, kad tiek atvērtas noteiktas mērķa lietojumprogrammas, BingoMod ierosina šos uzbrukumus tieši ar ļaunprātīgas programmatūras operatora starpniecību.
