Trojan bankowy BingoMod
Badacze zajmujący się cyberbezpieczeństwem odkryli nowego trojana zdalnego dostępu do Androida (RAT) o nazwie BingoMod. Szkodnik ten ułatwia fałszywe przelewy pieniężne z zainfekowanych urządzeń i usuwa je, aby wyeliminować ślady swojej obecności.
Uważa się, że BingoMod odkryty pod koniec maja 2024 r. jest aktywnie rozwijany. Trojan jest prawdopodobnie powiązany z rumuńskojęzycznym ugrupowaniem zagrażającym, ponieważ wczesne wersje kodu źródłowego zawierają komentarze napisane w języku rumuńskim.
Spis treści
Zagrażające możliwości BingoMod RAT
BingoMod jest częścią najnowszej generacji mobilnych trojanów zdalnego dostępu (RAT). Jego zaawansowane możliwości zdalnego dostępu umożliwiają cyberprzestępcom przeprowadzanie przejęć kont (ATO) bezpośrednio z zainfekowanych urządzeń przy użyciu techniki oszustwa na urządzeniu (ODF).
Metodę tę zaobserwowano również w innych trojanach bankowych dla systemu Android, takich jak Medusa (znana również jako TangleBot), Copybara i TeaBot (znana również jako Anatsa).
Podobnie jak BRATA , BingoMod posiada mechanizm samozniszczenia zaprojektowany w celu usunięcia dowodów fałszywych transferów z zainfekowanego urządzenia, co komplikuje analizę kryminalistyczną. Chociaż ta funkcja ma obecnie wpływ tylko na zewnętrzną pamięć urządzenia, podejrzewa się, że możliwości zdalnego dostępu mogą zostać wykorzystane do zainicjowania pełnego resetu do ustawień fabrycznych.
BingoMod dostaje się do telefonów ludzi pod przykrywką pozornie przydatnych aplikacji
Niektóre z wykrytych aplikacji podszywają się pod narzędzia bezpieczeństwa lub aktualizacje Google Chrome. Po zainstalowaniu za pomocą taktyki smishingowej aplikacja pyta użytkownika o uprawnienia do usług ułatwień dostępu, których następnie używa do wykonywania szkodliwych działań.
Działania te obejmują wdrożenie głównego ładunku, zablokowanie dostępu użytkownika do ekranu głównego w celu zebrania informacji o urządzeniu oraz eksfiltrację tych danych na serwer kontrolowany przez osobę atakującą. Dodatkowo aplikacja wykorzystuje interfejs API usług dostępności do zbierania poufnych informacji wyświetlanych na ekranie, takich jak dane uwierzytelniające i salda kont bankowych. Przyznaje sobie uprawnienia do przechwytywania wiadomości SMS.
Podmioty zagrażające bezpośrednio obsługują BingoMod RAT
Aby wykonywać przelewy pieniężne bezpośrednio z zaatakowanych urządzeń, BingoMod ustanawia połączenie oparte na gniazdach ze swoją infrastrukturą dowodzenia i kontroli (C2). Umożliwia to odbieranie do 40 zdalnych poleceń, w tym wykonywanie zrzutów ekranu za pośrednictwem interfejsu API Media Projection systemu Android i interakcję z urządzeniem w czasie rzeczywistym.
Technika oszustw na urządzeniu (ODF) stosowana przez BingoMod wymaga od operatora rzeczywistego ręcznego przetwarzania przelewów pieniężnych o wartości do 15 000 EUR (~16 100 USD) na transakcję zamiast korzystania z automatycznego systemu transferów (ATS) w przypadku oszustw finansowych na dużą skalę.
Ponadto złośliwe oprogramowanie wykorzystuje techniki zaciemniania kodu i może odinstalowywać dowolne aplikacje z zaatakowanego urządzenia, co sugeruje, że autorzy przedkładają uniknięcie wykrycia i prostotę nad zaawansowane funkcje.
Oprócz kontroli ekranu w czasie rzeczywistym, BingoMod ma także możliwości phishingu poprzez ataki nakładkowe i fałszywe powiadomienia. W przeciwieństwie do typowych ataków nakładkowych, które są wyzwalane po otwarciu określonych aplikacji docelowych, BingoMod inicjuje te ataki bezpośrednio za pośrednictwem operatora złośliwego oprogramowania.
