BingoMod Banking Trojan
Výskumníci v oblasti kybernetickej bezpečnosti objavili nový trójsky kôň Android Remote Access (RAT) s názvom BingoMod. Tento malvér uľahčuje podvodné prevody peňazí z infikovaných zariadení a odstraňuje ich, aby sa odstránili stopy po jeho prítomnosti.
Predpokladá sa, že BingoMod, ktorý bol odhalený koncom mája 2024, je aktívne vo vývoji. Trójsky kôň je pravdepodobne spojený s rumunsky hovoriacim aktérom hrozby, keďže skoré verzie zdrojového kódu obsahujú komentáre napísané v rumunčine.
Obsah
Ohrozujúce schopnosti BingoMod RAT
BingoMod je súčasťou najnovšej generácie mobilných trójskych koní so vzdialeným prístupom (RAT). Jeho pokročilé možnosti vzdialeného prístupu umožňujú aktérom hrozieb vykonávať prevzatie účtov (ATO) priamo z infikovaných zariadení s využitím techniky podvodu na zariadení (ODF).
Táto metóda bola tiež zaznamenaná v iných bankových trójskych koňoch Android, ako sú Medusa (tiež známy ako TangleBot), Copybara a TeaBot (známy aj ako Anatsa).
Podobne ako BRATA , aj BingoMod obsahuje mechanizmus samodeštrukcie navrhnutý na vymazanie dôkazov o podvodných prenosoch z infikovaného zariadenia, čo komplikuje forenznú analýzu. Hoci táto funkcia v súčasnosti ovplyvňuje iba externé úložisko zariadenia, existuje podozrenie, že na spustenie úplného obnovenia továrenských nastavení by bolo možné použiť možnosti vzdialeného prístupu.
BingoMod sa dostane do telefónov ľudí pod rúškom zdanlivo užitočných aplikácií
Niektoré z objavených aplikácií sa maskujú ako bezpečnostné nástroje alebo aktualizácie Google Chrome. Po nainštalovaní pomocou smishingovej taktiky aplikácia požiada používateľa o povolenia služieb dostupnosti, ktoré potom používa na vykonávanie škodlivých činností.
Tieto aktivity zahŕňajú nasadenie primárnej užitočnej záťaže, uzamknutie používateľa z hlavnej obrazovky na zhromažďovanie informácií o zariadení a exfiltráciu týchto údajov na server kontrolovaný útočníkom. Aplikácia navyše využíva rozhranie API služieb prístupnosti na získavanie citlivých informácií zobrazených na obrazovke, ako sú poverenia a zostatky na bankových účtoch. Udeľuje si povolenie na zachytenie SMS správ.
Aktéri hrozieb ovládajú BingoMod RAT priamo
Na uskutočnenie prevodu peňazí priamo z napadnutých zariadení vytvorí BingoMod pripojenie založené na zásuvke so svojou infraštruktúrou Command-and-Control (C2). To mu umožňuje prijímať až 40 vzdialených príkazov, vrátane vytvárania snímok obrazovky cez Android Media Projection API a interakcie so zariadením v reálnom čase.
Technika podvodu na zariadení (ODF), ktorú používa BingoMod, vyžaduje od živého operátora, aby manuálne spracoval prevody peňazí až do výšky 15 000 EUR (~ 16 100 USD) na transakciu, namiesto použitia systému automatizovaného prevodu (ATS) na rozsiahle finančné podvody.
Malvér navyše využíva techniky zahmlievania kódu a dokáže odinštalovať ľubovoľné aplikácie z napadnutého zariadenia, čo naznačuje, že autori uprednostňujú vyhýbanie sa detekcii a jednoduchosť pred pokročilými funkciami.
Okrem ovládania obrazovky v reálnom čase má BingoMod aj možnosti phishingu prostredníctvom prekrývacích útokov a falošných upozornení. Na rozdiel od typických prekryvných útokov, ktoré sa spúšťajú pri otvorení špecifických cieľových aplikácií, BingoMod iniciuje tieto útoky priamo cez operátora malvéru.
