BingoMod Banking Trojan
Studiuesit e sigurisë kibernetike kanë zbuluar një Trojan të ri Android Remote Access (RAT) të quajtur BingoMod. Ky malware lehtëson transferimet mashtruese të parave nga pajisjet e infektuara dhe i fshin ato për të eliminuar gjurmët e pranisë së tij.
I zbuluar në fund të majit 2024, BingoMod mendohet të jetë aktivisht në zhvillim e sipër. Trojani ka të ngjarë të lidhet me një aktor kërcënimi që flet rumanisht, pasi versionet e hershme të kodit burimor përmbajnë komente të shkruara në rumanisht.
Tabela e Përmbajtjes
Aftësitë kërcënuese të BingoMod RAT
BingoMod është pjesë e gjeneratës më të fundit të Trojans me qasje në distancë (RAT). Aftësitë e tij të avancuara të aksesit në distancë u mundësojnë aktorëve të kërcënimit të kryejnë marrjen e llogarive (ATO) direkt nga pajisjet e infektuara, duke përdorur një teknikë mashtrimi në pajisje (ODF).
Kjo metodë është parë edhe në trojanë të tjerë bankar Android, si Medusa (i njohur gjithashtu si TangleBot), Copybara dhe TeaBot (i njohur gjithashtu si Anatsa).
Ngjashëm me BRATA , BingoMod përmban një mekanizëm vetë-shkatërrues të krijuar për të fshirë provat e transferimeve mashtruese nga pajisja e infektuar, duke komplikuar analizën mjeko-ligjore. Ndërsa ky funksion aktualisht prek vetëm hapësirën ruajtëse të jashtme të pajisjes, dyshohet se aftësitë e aksesit në distancë mund të përdoren për të nisur një rivendosje të plotë të fabrikës.
BingoMod futet brenda telefonave të njerëzve nën maskën e aplikacioneve në dukje të dobishme
Disa nga aplikacionet e zbuluara maskohen si mjete sigurie ose përditësime të Google Chrome. Pasi të instalohet përmes taktikave të goditjes, aplikacioni i kërkon përdoruesit lejet e shërbimeve të aksesueshmërisë, të cilat më pas i përdor për të kryer aktivitete të dëmshme.
Këto aktivitete përfshijnë vendosjen e ngarkesës kryesore, mbylljen e përdoruesit nga ekrani kryesor për të mbledhur informacionin e pajisjes dhe ekfiltimin e këtyre të dhënave në një server të kontrolluar nga sulmuesi. Për më tepër, aplikacioni shfrytëzon API-në e shërbimeve të aksesueshmërisë për të mbledhur informacione të ndjeshme të shfaqura në ekran, si kredencialet dhe gjendjet e llogarive bankare. Ai i jep vetes leje për të përgjuar mesazhe SMS.
Aktorët e Kërcënimit Operojnë drejtpërdrejt BingoMod RAT
Për të kryer transferime parash drejtpërdrejt nga pajisjet e komprometuara, BingoMod krijon një lidhje të bazuar në prizë me infrastrukturën e tij Command-and-Control (C2). Kjo e lejon atë të marrë deri në 40 komanda në distancë, duke përfshirë marrjen e pamjeve të ekranit përmes API-së së Media Projection të Android dhe ndërveprimin me pajisjen në kohë reale.
Teknika e mashtrimit në pajisje (ODF) e përdorur nga BingoMod kërkon që një operator i drejtpërdrejtë të përpunojë manualisht transferta parash deri në 15,000 € (~ 16,100 dollarë) për transaksion në vend që të përdorë një Sistem Transferimi të Automatizuar (ATS) për mashtrime financiare në shkallë të gjerë.
Për më tepër, malware përdor teknika të mjegullimit të kodit dhe mund të çinstalojë aplikacione arbitrare nga pajisja e komprometuar, duke sugjeruar që autorët t'i japin përparësi shmangies së zbulimit dhe thjeshtësisë mbi veçoritë e përparuara.
Përtej kontrollit të ekranit në kohë reale, BingoMod ka gjithashtu aftësi phishing përmes Sulmeve mbivendosje dhe njoftimeve të rreme. Ndryshe nga sulmet tipike të mbivendosjes që shkaktohen kur hapen aplikacione specifike të synuara, BingoMod i nis këto sulme drejtpërdrejt përmes operatorit të malware.
