BingoMod Banking Trojan
Cybersikkerhetsforskere har oppdaget en ny Android Remote Access Trojan (RAT) kalt BingoMod. Denne skadelige programvaren letter uredelige pengeoverføringer fra infiserte enheter og tørker dem for å eliminere spor av dens tilstedeværelse.
BingoMod ble avdekket i slutten av mai 2024, og antas å være aktivt under utvikling. Trojaneren er sannsynligvis knyttet til en rumensktalende trusselaktør, ettersom tidlige versjoner av kildekoden inneholder kommentarer skrevet på rumensk.
Innholdsfortegnelse
De truende egenskapene til BingoMod RAT
BingoMod er en del av den nyeste mobile Remote Access Trojans (RATs) generasjonen. Dens avanserte fjerntilgangsfunksjoner gjør det mulig for trusselaktører å utføre kontoovertakelser (ATOs) direkte fra infiserte enheter, ved å bruke en on-device fraud-teknikk (ODF).
Denne metoden har også blitt sett i andre Android-banktrojanere, som Medusa (også kjent som TangleBot), Copybara og TeaBot (også kjent som Anatsa).
I likhet med BRATA har BingoMod en selvdestruksjonsmekanisme designet for å slette bevis på uredelige overføringer fra den infiserte enheten, noe som kompliserer rettsmedisinske analyser. Selv om denne funksjonen for øyeblikket kun påvirker enhetens eksterne lagring, er det mistanke om at fjerntilgangsmulighetene kan brukes til å starte en fullstendig tilbakestilling av fabrikken.
BingoMod kommer inn i folks telefoner under dekke av tilsynelatende nyttige applikasjoner
Noen av de oppdagede applikasjonene forkledd seg som sikkerhetsverktøy eller Google Chrome-oppdateringer. Etter å ha blitt installert gjennom smishing-taktikk, ber appen brukeren om tillatelser for tilgjengelighetstjenester, som den deretter bruker til å utføre skadelige aktiviteter.
Disse aktivitetene inkluderer å distribuere den primære nyttelasten, låse brukeren ute fra hovedskjermen for å samle enhetsinformasjon og eksfiltrere disse dataene til en server kontrollert av angriperen. I tillegg utnytter applikasjonen tilgjengelighetstjenestens API for å samle inn sensitiv informasjon som vises på skjermen, for eksempel legitimasjon og bankkontosaldo. Den gir seg selv tillatelse til å avskjære SMS-meldinger.
Trusselskuespillere betjener BingoMod RAT direkte
For å utføre pengeoverføringer direkte fra kompromitterte enheter, etablerer BingoMod en socket-basert forbindelse med sin Command-and-Control (C2)-infrastruktur. Dette lar den motta opptil 40 fjernkommandoer, inkludert å ta skjermbilder via Androids Media Projection API og samhandle med enheten i sanntid.
On-Device Fraud (ODF)-teknikken som brukes av BingoMod krever at en live-operatør manuelt behandler pengeoverføringer på opptil €15 000 (~$16 100) per transaksjon i stedet for å bruke et automatisert overføringssystem (ATS) for økonomisk svindel i stor skala.
I tillegg benytter skadelig programvare kode-obfuskeringsteknikker og kan avinstallere vilkårlige applikasjoner fra den kompromitterte enheten, noe som antyder at forfatterne prioriterer å unnvike oppdagelse og enkelhet fremfor avanserte funksjoner.
Utover skjermkontroll i sanntid, har BingoMod også phishing-funksjoner gjennom Overlay Attacks og falske varsler. I motsetning til typiske overleggsangrep som utløses når spesifikke målapplikasjoner åpnes, initierer BingoMod disse angrepene direkte gjennom skadevareoperatøren.
