БингоМод банкарски тројанац
Истраживачи сајбер безбедности открили су нови Андроид тројанац за даљински приступ (РАТ) под називом БингоМод. Овај злонамерни софтвер олакшава лажне трансфере новца са заражених уређаја и брише их како би елиминисао трагове свог присуства.
Сматра се да је БингоМод откривен крајем маја 2024. године у активном развоју. Тројанац је вероватно повезан са претњом који говори румунски, пошто ране верзије изворног кода садрже коментаре написане на румунском.
Преглед садржаја
Претеће могућности БингоМод РАТ-а
БингоМод је део најновије генерације мобилних тројанаца за даљински приступ (РАТ). Његове напредне могућности даљинског приступа омогућавају актерима претњи да изврше преузимање налога (АТО) директно са заражених уређаја, користећи технику преваре на уређају (ОДФ).
Ова метода је такође виђена у другим Андроид банкарским тројанцима, као што су Медуса (позната и као ТанглеБот), Цопибара и ТеаБот (позната и као Анатса).
Слично као БРАТА , БингоМод има механизам за самоуништење дизајниран да избрише доказе о лажним трансферима са зараженог уређаја, што компликује форензичку анализу. Иако ова функција тренутно утиче само на спољну меморију уређаја, сумња се да би се могућности даљинског приступа могле користити за покретање потпуног ресетовања на фабричка подешавања.
БингоМод улази у телефоне људи под маском наизглед корисних апликација
Неке од откривених апликација се маскирају као безбедносне алатке или ажурирања за Гоогле Цхроме. Након што је инсталирана тактиком разбијања, апликација тражи од корисника дозволе за услуге приступачности, које затим користи за обављање штетних активности.
Ове активности укључују примену примарног терета, закључавање корисника са главног екрана ради прикупљања информација о уређају и ексфилтрацију ових података на сервер који контролише нападач. Поред тога, апликација користи АПИ услуга приступачности за прикупљање осетљивих информација приказаних на екрану, као што су акредитиви и стања на банковним рачунима. Он себи даје дозволу за пресретање СМС порука.
Актери претњи директно управљају БингоМод РАТ-ом
Да би извршио трансфер новца директно са компромитованих уређаја, БингоМод успоставља везу засновану на утичници са својом инфраструктуром за команду и контролу (Ц2). Ово му омогућава да прими до 40 даљинских команди, укључујући снимање екрана преко Андроид Медиа Пројецтион АПИ-ја и интеракцију са уређајем у реалном времену.
Техника преваре на уређају (ОДФ) коју користи БингоМод захтева од живог оператера да ручно обрађује трансфере новца до 15.000 евра (~16.100 долара) по трансакцији уместо да користи систем аутоматизованог трансфера (АТС) за финансијске преваре великих размера.
Поред тога, малвер користи технике замагљивања кода и може да деинсталира произвољне апликације са компромитованог уређаја, што сугерише да аутори дају приоритет избегавању откривања и једноставности у односу на напредне функције.
Поред контроле екрана у реалном времену, БингоМод такође има могућности пхисхинг-а путем напада преклапања и лажних обавештења. За разлику од типичних напада преклапања који се покрећу када се отворе одређене циљне апликације, БингоМод покреће ове нападе директно преко оператера злонамерног софтвера.
