BingoMod Banking-trojan
Cybersecurity-onderzoekers hebben een nieuwe Android Remote Access Trojan (RAT) ontdekt met de naam BingoMod. Deze malware faciliteert frauduleuze geldoverdrachten vanaf geïnfecteerde apparaten en wist deze om sporen van de aanwezigheid ervan te elimineren.
BingoMod werd eind mei 2024 ontdekt en wordt vermoedelijk actief in ontwikkeling. De Trojan is waarschijnlijk gekoppeld aan een Roemeenssprekende bedreigingsacteur, aangezien vroege versies van de broncode commentaar bevatten dat in het Roemeens is geschreven.
Inhoudsopgave
De bedreigende mogelijkheden van de BingoMod RAT
BingoMod maakt deel uit van de nieuwste generatie mobiele Remote Access Trojans (RAT's). Dankzij de geavanceerde mogelijkheden voor externe toegang kunnen bedreigingsactoren Account Takeovers (ATO's) rechtstreeks vanaf geïnfecteerde apparaten uitvoeren, met behulp van een fraudetechniek op het apparaat (ODF).
Deze methode is ook gezien in andere Android-banktrojans, zoals Medusa (ook bekend als TangleBot), Copybara en TeaBot (ook bekend als Anatsa).
Net als BRATA beschikt BingoMod over een zelfvernietigingsmechanisme dat is ontworpen om bewijsmateriaal van frauduleuze overdrachten van het geïnfecteerde apparaat te wissen, wat forensische analyse bemoeilijkt. Hoewel deze functie momenteel alleen invloed heeft op de externe opslag van het apparaat, wordt vermoed dat de mogelijkheden voor externe toegang kunnen worden gebruikt om een volledige fabrieksreset te initiëren.
BingoMod dringt in de telefoons van mensen onder het mom van schijnbaar nuttige applicaties
Sommige van de ontdekte applicaties vermommen zich als beveiligingstools of Google Chrome-updates. Na te zijn geïnstalleerd via smishing-tactieken, vraagt de app de gebruiker om toestemmingen voor toegankelijkheidsdiensten, die de app vervolgens gebruikt om schadelijke activiteiten uit te voeren.
Deze activiteiten omvatten het inzetten van de primaire payload, het buitensluiten van het hoofdscherm van de gebruiker om apparaatinformatie te verzamelen en het exfiltreren van deze gegevens naar een server die wordt beheerd door de aanvaller. Bovendien maakt de applicatie gebruik van de API voor toegankelijkheidsservices om gevoelige informatie te verzamelen die op het scherm wordt weergegeven, zoals inloggegevens en bankrekeningsaldi. Het geeft zichzelf toestemming om sms-berichten te onderscheppen.
Bedreigingsactoren bedienen de BingoMod RAT rechtstreeks
Om geldoverdrachten rechtstreeks vanaf besmette apparaten uit te voeren, brengt BingoMod een socket-gebaseerde verbinding tot stand met zijn Command-and-Control (C2)-infrastructuur. Hierdoor kan het tot 40 opdrachten op afstand ontvangen, inclusief het maken van schermafbeeldingen via de Media Projection API van Android en het in realtime communiceren met het apparaat.
De On-Device Fraud (ODF)-techniek die door BingoMod wordt gebruikt, vereist dat een live operator handmatig geldoverdrachten tot € 15.000 (~ $ 16.100) per transactie verwerkt in plaats van een Automated Transfer System (ATS) te gebruiken voor grootschalige financiële fraude.
Bovendien maakt de malware gebruik van codeverduisteringstechnieken en kan willekeurige applicaties van het besmette apparaat verwijderen, wat erop wijst dat de auteurs prioriteit geven aan het omzeilen van detectie en eenvoud boven geavanceerde functies.
Naast real-time schermbediening heeft BingoMod ook phishing-mogelijkheden via overlay-aanvallen en nepmeldingen. In tegenstelling tot typische overlay-aanvallen die worden geactiveerd wanneer specifieke doelapplicaties worden geopend, initieert BingoMod deze aanvallen rechtstreeks via de malware-operator.
