โทรจันธนาคาร BingoMod

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ Android Remote Access Trojan (RAT) ตัวใหม่ชื่อ BingoMod มัลแวร์นี้อำนวยความสะดวกในการโอนเงินที่ฉ้อโกงจากอุปกรณ์ที่ติดไวรัสและลบล้างอุปกรณ์เหล่านั้นเพื่อกำจัดร่องรอยที่ปรากฏ

BingoMod เปิดตัวในช่วงปลายเดือนพฤษภาคม 2024 คาดว่าจะอยู่ระหว่างการพัฒนา โทรจันน่าจะเชื่อมโยงกับผู้คุกคามที่พูดภาษาโรมาเนีย เนื่องจากซอร์สโค้ดเวอร์ชันแรกๆ มีความคิดเห็นที่เขียนเป็นภาษาโรมาเนีย

ความสามารถในการคุกคามของ BingoMod RAT

BingoMod เป็นส่วนหนึ่งของการสร้าง Remote Access Trojans (RATs) บนมือถือรุ่นล่าสุด ความสามารถในการเข้าถึงระยะไกลขั้นสูงช่วยให้ผู้คุกคามสามารถดำเนินการครอบครองบัญชี (ATO) ได้โดยตรงจากอุปกรณ์ที่ติดไวรัส โดยใช้เทคนิคการฉ้อโกงบนอุปกรณ์ (ODF)

วิธีการนี้ยังพบเห็นได้ในโทรจันธนาคารอื่นๆ ของ Android เช่น Medusa (หรือที่รู้จักในชื่อ TangleBot), Copybara และ TeaBot (หรือที่รู้จักในชื่อ Anatsa)

เช่นเดียวกับ BRATA BingoMod มีกลไกการทำลายตัวเองที่ออกแบบมาเพื่อลบหลักฐานการถ่ายโอนที่ฉ้อโกงออกจากอุปกรณ์ที่ติดไวรัส ทำให้การวิเคราะห์ทางนิติเวชมีความซับซ้อน แม้ว่าฟังก์ชันนี้จะมีผลกับที่จัดเก็บข้อมูลภายนอกของอุปกรณ์ในปัจจุบันเท่านั้น แต่ยังน่าสงสัยว่าความสามารถในการเข้าถึงระยะไกลสามารถใช้เพื่อเริ่มต้นการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานได้

BingoMod เข้าถึงโทรศัพท์ของผู้คนภายใต้หน้ากากของแอปพลิเคชั่นที่มีประโยชน์

แอปพลิเคชั่นบางตัวที่ค้นพบปลอมตัวเป็นเครื่องมือความปลอดภัยหรือการอัปเดตของ Google Chrome หลังจากติดตั้งผ่านกลวิธี smishing แล้ว แอปจะขอสิทธิ์การเข้าถึงบริการจากผู้ใช้ จากนั้นจึงใช้เพื่อทำกิจกรรมที่เป็นอันตราย

กิจกรรมเหล่านี้รวมถึงการปรับใช้เพย์โหลดหลัก การล็อคผู้ใช้ออกจากหน้าจอหลักเพื่อรวบรวมข้อมูลอุปกรณ์ และการกรองข้อมูลนี้ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี นอกจากนี้ แอปพลิเคชันยังใช้ประโยชน์จาก API บริการการเข้าถึงเพื่อรวบรวมข้อมูลสำคัญที่แสดงบนหน้าจอ เช่น ข้อมูลประจำตัวและยอดคงเหลือในบัญชีธนาคาร มันให้สิทธิ์ตัวเองในการสกัดกั้นข้อความ SMS

ผู้คุกคามดำเนินการ BingoMod RAT โดยตรง

เพื่อดำเนินการโอนเงินโดยตรงจากอุปกรณ์ที่ถูกบุกรุก BingoMod จะสร้างการเชื่อมต่อแบบซ็อกเก็ตกับโครงสร้างพื้นฐาน Command-and-Control (C2) ช่วยให้สามารถรับคำสั่งระยะไกลได้มากถึง 40 คำสั่ง รวมถึงการจับภาพหน้าจอผ่าน Media Projection API ของ Android และโต้ตอบกับอุปกรณ์แบบเรียลไทม์

เทคนิคการฉ้อโกงบนอุปกรณ์ (ODF) ที่ใช้โดย BingoMod กำหนดให้ผู้ดำเนินการจริงต้องประมวลผลการโอนเงินด้วยตนเองสูงถึง 15,000 ยูโร (~ $ 16,100) ต่อธุรกรรม แทนที่จะใช้ระบบโอนเงินอัตโนมัติ (ATS) สำหรับการฉ้อโกงทางการเงินขนาดใหญ่

นอกจากนี้ มัลแวร์ยังใช้เทคนิคการทำให้โค้ดสับสนและสามารถถอนการติดตั้งแอปพลิเคชันใดๆ ออกจากอุปกรณ์ที่ถูกบุกรุกได้ โดยแนะนำว่าผู้เขียนควรให้ความสำคัญกับการหลบเลี่ยงการตรวจจับและความเรียบง่ายมากกว่าฟีเจอร์ขั้นสูง

นอกเหนือจากการควบคุมหน้าจอแบบเรียลไทม์แล้ว BingoMod ยังมีความสามารถในการฟิชชิ่งผ่านการโจมตีแบบซ้อนทับและการแจ้งเตือนปลอมอีกด้วย แตกต่างจากการโจมตีแบบซ้อนทับทั่วไปที่เกิดขึ้นเมื่อเปิดแอปพลิเคชันเป้าหมายเฉพาะ BingoMod จะเริ่มการโจมตีเหล่านี้โดยตรงผ่านตัวดำเนินการมัลแวร์