Банковский троян BingoMod
Исследователи кибербезопасности обнаружили нового трояна удаленного доступа к Android (RAT) под названием BingoMod. Это вредоносное ПО способствует мошенническим переводам денег с зараженных устройств и стирает их, чтобы устранить следы своего присутствия.
Предполагается, что BingoMod, обнаруженный в конце мая 2024 года, находится в активной разработке. Троянец, скорее всего, связан с румыноязычным злоумышленником, поскольку ранние версии исходного кода содержат комментарии, написанные на румынском языке.
Оглавление
Угрожающие возможности BingoMod RAT
BingoMod является частью последнего поколения мобильных троянов удаленного доступа (RAT). Его расширенные возможности удаленного доступа позволяют злоумышленникам осуществлять захват учетных записей (ATO) непосредственно с зараженных устройств, используя метод мошенничества на устройстве (ODF).
Этот метод также использовался в других банковских троянах Android, таких как Medusa (также известный как TangleBot), Copybara и TeaBot (также известный как Anatsa).
Подобно BRATA , BingoMod имеет механизм самоуничтожения, предназначенный для стирания доказательств мошеннических передач с зараженного устройства, что усложняет судебно-медицинскую экспертизу. Хотя в настоящее время эта функция влияет только на внешнее хранилище устройства, есть подозрение, что возможности удаленного доступа могут быть использованы для инициирования полного сброса настроек к заводским настройкам.
BingoMod проникает в телефоны людей под видом, казалось бы, полезных приложений
Некоторые из обнаруженных приложений маскируются под инструменты безопасности или обновления Google Chrome. После установки с помощью тактики смишинга приложение запрашивает у пользователя разрешения на доступ к службам доступности, которые затем использует для выполнения вредоносных действий.
Эти действия включают в себя развертывание основной полезной нагрузки, блокировку доступа пользователя к главному экрану для сбора информации об устройстве и передачу этих данных на сервер, контролируемый злоумышленником. Кроме того, приложение использует API служб доступности для сбора конфиденциальной информации, отображаемой на экране, такой как учетные данные и баланс банковских счетов. Он дает себе разрешение на перехват SMS-сообщений.
Злоумышленники напрямую управляют BingoMod RAT
Для осуществления денежных переводов непосредственно со взломанных устройств BingoMod устанавливает соединение на основе сокета со своей инфраструктурой управления и контроля (C2). Это позволяет ему получать до 40 удаленных команд, включая создание снимков экрана через Android Media Projection API и взаимодействие с устройством в режиме реального времени.
Метод мошенничества на устройстве (ODF), используемый BingoMod, требует, чтобы живой оператор вручную обрабатывал денежные переводы на сумму до 15 000 евро (~ 16 100 долларов США) за транзакцию, а не использовал автоматизированную систему переводов (ATS) для крупномасштабного финансового мошенничества.
Кроме того, вредоносное ПО использует методы запутывания кода и может удалять произвольные приложения со скомпрометированного устройства, что позволяет авторам отдавать предпочтение уклонению от обнаружения и простоте перед расширенными функциями.
Помимо управления экраном в реальном времени, BingoMod также имеет возможности фишинга посредством наложенных атак и поддельных уведомлений. В отличие от типичных оверлейных атак, которые запускаются при открытии определенных целевых приложений, BingoMod инициирует эти атаки непосредственно через оператора вредоносного ПО.
