BingoMod Banking Trojan
Os pesquisadores de segurança cibernética descobriram um novo Trojan de Acesso Remoto (RAT) para Android chamado BingoMod. Este malware facilita transferências fraudulentas de dinheiro de dispositivos infectados e os apaga para eliminar vestígios de sua presença.
Descoberto no final de maio de 2024, acredita-se que o BingoMod esteja em desenvolvimento ativo. O Trojan provavelmente está vinculado a um agente de ameaça que fala romeno, já que as primeiras versões do código-fonte contêm comentários escritos em romeno.
Índice
As Capacidades Ameaçadoras do BingoMod RAT
BingoMod faz parte da mais recente geração de Trojans de acesso remoto (RATs) móveis. Seus recursos avançados de acesso remoto permitem que os agentes de ameaças realizem roubos de contas (ATOs) diretamente de dispositivos infectados, utilizando uma técnica de fraude no dispositivo (ODF).
Este método também foi visto em outros trojans bancários Android, como Medusa (também conhecido como TangleBot), Copybara e TeaBot (também conhecido como Anatsa).
Semelhante ao BRATA , o BingoMod apresenta um mecanismo de autodestruição projetado para apagar evidências de transferências fraudulentas do dispositivo infectado, complicando a análise forense. Embora esta função atualmente afete apenas o armazenamento externo do dispositivo, suspeita-se que os recursos de acesso remoto possam ser usados para iniciar uma redefinição completa de fábrica.
O BingoMod Entra nos Telefones das Pessoas como sendo Aplicativos Aparentemente Úteis
Alguns dos aplicativos descobertos se disfarçam como ferramentas de segurança ou atualizações do Google Chrome. Após ser instalado por meio de táticas de smishing, o aplicativo solicita ao usuário permissões de serviços de acessibilidade, que ele utiliza para realizar atividades prejudiciais.
Essas atividades incluem a implantação da carga primária, o bloqueio do usuário na tela principal para coletar informações do dispositivo e a exfiltração desses dados para um servidor controlado pelo invasor. Além disso, o aplicativo explora a API de serviços de acessibilidade para coletar informações confidenciais exibidas na tela, como credenciais e saldos de contas bancárias. Ele concede permissão para interceptar mensagens SMS.
Os Autores de Ameaças Operam o BingoMod RAT Diretamente
Para realizar transferências de dinheiro diretamente de dispositivos comprometidos, o BingoMod estabelece uma conexão baseada em soquete com sua infraestrutura de Comando e Controle (C2). Isso permite receber até 40 comandos remotos, incluindo capturas de tela por meio da API Media Projection do Android e interação com o dispositivo em tempo real.
A técnica de fraude no dispositivo (ODF) usada pelo BingoMod exige que um operador ao vivo processe manualmente transferências de dinheiro de até € 15.000 (~US$ 16.100) por transação, em vez de usar um Sistema de Transferência Automatizada (ATS) para fraudes financeiras em grande escala.
Além disso, o malware emprega técnicas de ofuscação de código e pode desinstalar aplicativos arbitrários do dispositivo comprometido, sugerindo que os autores priorizem a evasão da detecção e a simplicidade em vez de recursos avançados.
Além do controle de tela em tempo real, o BingoMod também possui recursos de phishing por meio de ataques de sobreposição e notificações falsas. Ao contrário dos ataques de sobreposição típicos que são acionados quando aplicativos específicos são abertos, o BingoMod inicia esses ataques diretamente através do operador do malware.
