Trojan Perbankan BingoMod
Penyelidik keselamatan siber telah menemui Trojan Akses Jauh Android (RAT) baharu bernama BingoMod. Malware ini memudahkan pemindahan wang palsu daripada peranti yang dijangkiti dan menghapuskannya untuk menghapuskan kesan kehadirannya.
Dibongkar pada akhir Mei 2024, BingoMod dianggap sedang giat dibangunkan. Trojan berkemungkinan dikaitkan dengan pelakon ancaman yang berbahasa Romania, kerana versi awal kod sumber mengandungi komen yang ditulis dalam bahasa Romania.
Isi kandungan
Keupayaan Mengancam RAT BingoMod
BingoMod ialah sebahagian daripada generasi Trojan Akses Jauh (RAT) mudah alih terkini. Keupayaan capaian jauhnya yang canggih membolehkan pelaku ancaman menjalankan Pengambilalihan Akaun (ATO) terus daripada peranti yang dijangkiti, menggunakan teknik penipuan pada peranti (ODF).
Kaedah ini juga telah dilihat dalam trojan perbankan Android yang lain, seperti Medusa (juga dikenali sebagai TangleBot), Copybara dan TeaBot (juga dikenali sebagai Anatsa).
Sama seperti BRATA , BingoMod menampilkan mekanisme pemusnahan diri yang direka untuk memadamkan bukti pemindahan penipuan daripada peranti yang dijangkiti, merumitkan analisis forensik. Walaupun fungsi ini pada masa ini hanya mempengaruhi storan luaran peranti, adalah disyaki bahawa keupayaan capaian jauh boleh digunakan untuk memulakan tetapan semula kilang penuh.
BingoMod Masuk ke dalam Telefon Orang Ramai Bertopengkan Aplikasi yang Nampak Berguna
Beberapa aplikasi yang ditemui menyamar sebagai alat keselamatan atau kemas kini Google Chrome. Selepas dipasang melalui taktik smishing, apl itu meminta pengguna untuk mendapatkan kebenaran perkhidmatan kebolehaksesan, yang kemudiannya digunakan untuk melakukan aktiviti berbahaya.
Aktiviti ini termasuk menggunakan muatan utama, mengunci pengguna keluar dari skrin utama untuk mengumpulkan maklumat peranti dan mengekstrak data ini ke pelayan yang dikawal oleh penyerang. Selain itu, aplikasi mengeksploitasi API perkhidmatan kebolehaksesan untuk mendapatkan maklumat sensitif yang dipaparkan pada skrin, seperti bukti kelayakan dan baki akaun bank. Ia memberikan kebenaran untuk memintas mesej SMS.
Pelakon Ancaman Mengendalikan RAT BingoMod Secara Terus
Untuk menjalankan pemindahan wang secara terus daripada peranti yang terjejas, BingoMod mewujudkan sambungan berasaskan soket dengan infrastruktur Perintah-dan-Kawalan (C2)nya. Ini membolehkan ia menerima sehingga 40 arahan jauh, termasuk mengambil tangkapan skrin melalui API Unjuran Media Android dan berinteraksi dengan peranti dalam masa nyata.
Teknik Penipuan Dalam Peranti (ODF) yang digunakan oleh BingoMod memerlukan pengendali langsung memproses pemindahan wang secara manual sehingga €15,000 (~$16,100) setiap transaksi dan bukannya menggunakan Sistem Pemindahan Automatik (ATS) untuk penipuan kewangan berskala besar.
Selain itu, perisian hasad menggunakan teknik pengeliruan kod dan boleh menyahpasang aplikasi sewenang-wenangnya daripada peranti yang terjejas, menunjukkan bahawa pengarang mengutamakan mengelak pengesanan dan kesederhanaan berbanding ciri lanjutan.
Di luar kawalan skrin masa nyata, BingoMod juga mempunyai keupayaan pancingan data melalui Serangan Tindanan dan pemberitahuan palsu. Tidak seperti serangan tindanan biasa yang dicetuskan apabila aplikasi sasaran tertentu dibuka, BingoMod memulakan serangan ini terus melalui pengendali perisian hasad.
