Troian bancar BingoMod
Cercetătorii în domeniul securității cibernetice au descoperit un nou troian Android Remote Access (RAT) numit BingoMod. Acest malware facilitează transferurile frauduloase de bani de pe dispozitivele infectate și le șterge pentru a elimina urmele prezenței sale.
Descoperit la sfârșitul lunii mai 2024, BingoMod este considerat a fi în curs de dezvoltare. Troianul este probabil legat de un actor de amenințare vorbitor de limba română, deoarece versiunile timpurii ale codului sursă conțin comentarii scrise în limba română.
Cuprins
Capabilitățile amenințătoare ale BingoMod RAT
BingoMod face parte din cea mai recentă generație de troieni de acces la distanță (RAT) pentru mobil. Capacitățile sale avansate de acces la distanță permit actorilor amenințărilor să efectueze Preluări de Conturi (ATO) direct de pe dispozitivele infectate, utilizând o tehnică de fraudă pe dispozitiv (ODF).
Această metodă a fost văzută și în alte troiene bancare Android, cum ar fi Medusa (cunoscută și sub numele de TangleBot), Copybara și TeaBot (cunoscută și sub numele de Anatsa).
Similar cu BRATA , BingoMod are un mecanism de autodistrugere conceput pentru a șterge dovezile transferurilor frauduloase de pe dispozitivul infectat, complicând analiza criminalistică. În timp ce această funcție afectează în prezent doar stocarea externă a dispozitivului, se suspectează că capabilitățile de acces la distanță ar putea fi utilizate pentru a iniția o resetare completă din fabrică.
BingoMod intră în telefoanele oamenilor sub masca unor aplicații aparent utile
Unele dintre aplicațiile descoperite se deghizează în instrumente de securitate sau actualizări Google Chrome. După ce a fost instalată prin tactici smishing, aplicația cere utilizatorului permisiuni pentru serviciile de accesibilitate, pe care apoi le folosește pentru a efectua activități dăunătoare.
Aceste activități includ desfășurarea sarcinii utile primare, blocarea utilizatorului din ecranul principal pentru a aduna informații despre dispozitiv și exfiltrarea acestor date pe un server controlat de atacator. În plus, aplicația exploatează API-ul serviciilor de accesibilitate pentru a colecta informații sensibile afișate pe ecran, cum ar fi acreditările și soldurile conturilor bancare. Își acordă permisiunea de a intercepta mesajele SMS.
Actorii amenințători operează BingoMod RAT direct
Pentru a efectua transferuri de bani direct de pe dispozitivele compromise, BingoMod stabilește o conexiune bazată pe socket cu infrastructura sa Command-and-Control (C2). Acest lucru îi permite să primească până la 40 de comenzi de la distanță, inclusiv realizarea de capturi de ecran prin API-ul Android Media Projection și interacțiunea cu dispozitivul în timp real.
Tehnica Frauda pe dispozitiv (ODF) folosită de BingoMod necesită ca un operator în direct să proceseze manual transferuri de bani de până la 15.000 EUR (~16.100 USD) per tranzacție, mai degrabă decât să folosească un Sistem de Transfer Automat (ATS) pentru fraude financiare pe scară largă.
În plus, malware-ul folosește tehnici de ofuscare a codului și poate dezinstala aplicații arbitrare de pe dispozitivul compromis, sugerând că autorii acordă prioritate evitării detectării și simplității față de funcțiile avansate.
Dincolo de controlul ecranului în timp real, BingoMod are și capacități de phishing prin atacuri de suprapunere și notificări false. Spre deosebire de atacurile tipice de suprapunere care sunt declanșate atunci când sunt deschise aplicații țintă specifice, BingoMod inițiază aceste atacuri direct prin intermediul operatorului de malware.
