Bančni trojanec BingoMod
Raziskovalci kibernetske varnosti so odkrili nov trojanec za oddaljeni dostop Android (RAT) z imenom BingoMod. Ta zlonamerna programska oprema omogoča lažne prenose denarja iz okuženih naprav in jih izbriše, da odstrani sledi svoje prisotnosti.
BingoMod, ki je bil odkrit konec maja 2024, se domneva, da se aktivno razvija. Trojanec je verjetno povezan z romunsko govorečim akterjem grožnje, saj zgodnje različice izvorne kode vsebujejo komentarje, napisane v romunščini.
Kazalo
Nevarne zmožnosti BingoMod RAT
BingoMod je del najnovejše generacije mobilnih trojancev za oddaljeni dostop (RAT). Njegove napredne zmogljivosti oddaljenega dostopa omogočajo akterjem groženj, da izvajajo prevzeme računov (ATO) neposredno iz okuženih naprav z uporabo tehnike goljufije na napravi (ODF).
To metodo so opazili tudi pri drugih bančnih trojancih Android, kot so Medusa (znan tudi kot TangleBot), Copybara in TeaBot (znan tudi kot Anatsa).
Podobno kot BRATA ima BingoMod mehanizem za samouničenje, zasnovan za brisanje dokazov o goljufivih prenosih iz okužene naprave, kar otežuje forenzično analizo. Medtem ko ta funkcija trenutno vpliva samo na zunanji pomnilnik naprave, obstaja sum, da bi lahko zmožnosti oddaljenega dostopa uporabili za sprožitev popolne ponastavitve na tovarniške nastavitve.
BingoMod vstopi v telefone ljudi pod krinko na videz uporabnih aplikacij
Nekatere od odkritih aplikacij se skrivajo kot varnostna orodja ali posodobitve Google Chroma. Po namestitvi s taktiko smehljanja aplikacija od uporabnika zahteva dovoljenja za storitve dostopnosti, ki jih nato uporabi za izvajanje škodljivih dejavnosti.
Te dejavnosti vključujejo razporeditev primarnega tovora, zaklepanje uporabnika iz glavnega zaslona za zbiranje informacij o napravi in izločanje teh podatkov v strežnik, ki ga nadzoruje napadalec. Poleg tega aplikacija izkorišča API storitev dostopnosti za zbiranje občutljivih informacij, prikazanih na zaslonu, kot so poverilnice in stanja na bančnem računu. Podeljuje si dovoljenje za prestrezanje sporočil SMS.
Akterji groženj upravljajo BingoMod RAT neposredno
Za izvajanje prenosov denarja neposredno iz ogroženih naprav BingoMod vzpostavi povezavo na osnovi vtičnice s svojo infrastrukturo Command-and-Control (C2). To mu omogoča, da prejme do 40 ukazov na daljavo, vključno s snemanjem posnetkov zaslona prek Androidovega API-ja Media Projection in interakcijo z napravo v realnem času.
Tehnika goljufije na napravi (ODF), ki jo uporablja BingoMod, zahteva, da operater v živo ročno obdela denarna nakazila do 15.000 € (~16.100 $) na transakcijo namesto uporabe sistema za avtomatiziran prenos (ATS) za velike finančne goljufije.
Poleg tega zlonamerna programska oprema uporablja tehnike zakrivanja kode in lahko odstrani poljubne aplikacije iz ogrožene naprave, kar kaže na to, da avtorji dajejo prednost izogibanju zaznavanju in preprostosti pred naprednimi funkcijami.
Poleg nadzora zaslona v realnem času ima BingoMod tudi zmožnost lažnega predstavljanja prek napadov prekrivanja in lažnih obvestil. Za razliko od tipičnih napadov prekrivanja, ki se sprožijo, ko se odprejo določene ciljne aplikacije, BingoMod sproži te napade neposredno prek operaterja zlonamerne programske opreme.
