BingoMod Banking Trojan
Cybersäkerhetsforskare har upptäckt en ny Android Remote Access Trojan (RAT) som heter BingoMod. Denna skadliga programvara underlättar bedrägliga pengaöverföringar från infekterade enheter och torkar dem för att eliminera spår av dess närvaro.
BingoMod avslöjades i slutet av maj 2024 och tros vara aktivt under utveckling. Trojanen är sannolikt kopplad till en rumänsktalande hotaktör, eftersom tidiga versioner av källkoden innehåller kommentarer skrivna på rumänska.
Innehållsförteckning
De hotande funktionerna hos BingoMod RAT
BingoMod är en del av den senaste mobila Remote Access Trojans (RATs) generationen. Dess avancerade fjärråtkomstfunktioner gör det möjligt för hotaktörer att utföra Account Takeovers (ATOs) direkt från infekterade enheter, med hjälp av en on-device fraud-teknik (ODF).
Denna metod har också setts i andra Android-banktrojaner, som Medusa (även känd som TangleBot), Copybara och TeaBot (även känd som Anatsa).
I likhet med BRATA har BingoMod en självdestruktionsmekanism utformad för att radera bevis på bedrägliga överföringar från den infekterade enheten, vilket komplicerar kriminalteknisk analys. Även om den här funktionen för närvarande endast påverkar enhetens externa lagring, misstänks det att fjärråtkomstfunktionerna kan användas för att initiera en fullständig fabriksåterställning.
BingoMod kommer in i människors telefoner under sken av till synes användbara applikationer
Vissa av de upptäckta applikationerna klär sig som säkerhetsverktyg eller Google Chrome-uppdateringar. Efter att ha installerats genom smishing-taktik ber appen användaren om behörigheter för tillgänglighetstjänster, som den sedan använder för att utföra skadliga aktiviteter.
Dessa aktiviteter inkluderar att distribuera den primära nyttolasten, låsa ut användaren från huvudskärmen för att samla in enhetsinformation och exfiltrera denna data till en server som kontrolleras av angriparen. Dessutom utnyttjar applikationen tillgänglighetstjänsterna API för att samla in känslig information som visas på skärmen, såsom inloggningsuppgifter och bankkontosaldon. Den ger sig själv tillåtelse att avlyssna SMS-meddelanden.
Hotskådespelare använder BingoMod RAT direkt
För att utföra pengaöverföringar direkt från komprometterade enheter upprättar BingoMod en socket-baserad anslutning med sin Command-and-Control (C2) infrastruktur. Detta gör att den kan ta emot upp till 40 fjärrkommandon, inklusive att ta skärmdumpar via Androids Media Projection API och interagera med enheten i realtid.
ODF-tekniken (On-Device Fraud) som används av BingoMod kräver att en liveoperatör manuellt bearbetar pengaöverföringar på upp till 15 000 € (~16 100 USD) per transaktion istället för att använda ett automatiserat överföringssystem (ATS) för storskaliga finansiella bedrägerier.
Dessutom använder skadlig programvara kodobfuskeringstekniker och kan avinstallera godtyckliga applikationer från den komprometterade enheten, vilket tyder på att författarna prioriterar undvikande av upptäckt och enkelhet framför avancerade funktioner.
Utöver skärmkontroll i realtid har BingoMod också nätfiskemöjligheter genom Overlay Attacks och falska meddelanden. Till skillnad från typiska överlagringsattacker som utlöses när specifika målapplikationer öppnas, initierar BingoMod dessa attacker direkt genom skadlig programvara.
