BingoMod Banking Trojan

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong Android Remote Access Trojan (RAT) na pinangalanang BingoMod. Pinapadali ng malware na ito ang mga mapanlinlang na paglilipat ng pera mula sa mga nahawaang device at pinupunasan ang mga ito upang maalis ang mga bakas ng presensya nito.

Natuklasan noong huling bahagi ng Mayo 2024, ang BingoMod ay naisip na aktibong nasa ilalim ng pag-unlad. Ang Trojan ay malamang na naka-link sa isang banta na nagsasalita ng Romanian, dahil ang mga unang bersyon ng source code ay naglalaman ng mga komentong nakasulat sa Romanian.

Ang Mga Kakayahang Nagbabanta ng BingoMod RAT

Ang BingoMod ay bahagi ng pinakabagong henerasyon ng Remote Access Trojans (RATs). Ang mga advanced na kakayahan sa malayuang pag-access nito ay nagbibigay-daan sa mga threat actor na magsagawa ng Account Takeovers (ATOs) nang direkta mula sa mga nahawaang device, gamit ang on-device fraud (ODF) technique.

Ang paraang ito ay nakita din sa iba pang mga Android banking trojan, gaya ng Medusa (kilala rin bilang TangleBot), Copybara at TeaBot (kilala rin bilang Anatsa).

Katulad ng BRATA , nagtatampok ang BingoMod ng mekanismo ng pagsira sa sarili na idinisenyo upang burahin ang ebidensya ng mga mapanlinlang na paglilipat mula sa nahawaang device, na nagpapalubha ng forensic analysis. Bagama't ang function na ito ay kasalukuyang nakakaapekto lamang sa panlabas na storage ng device, pinaghihinalaan na ang mga kakayahan sa malayuang pag-access ay maaaring gamitin upang simulan ang isang buong factory reset.

Nakapasok ang BingoMod sa mga Telepono ng mga Tao sa Ilalim ng Pagkukunwari ng Mga Mukhang Kapaki-pakinabang na Application

Ang ilan sa mga natuklasang application ay nagpapanggap ang kanilang mga sarili bilang mga tool sa seguridad o mga update sa Google Chrome. Pagkatapos ma-install sa pamamagitan ng smishing tactics, humihingi ang app sa user ng mga pahintulot sa mga serbisyo sa pagiging naa-access, na pagkatapos ay ginagamit nito upang magsagawa ng mga mapaminsalang aktibidad.

Kasama sa mga aktibidad na ito ang pag-deploy ng pangunahing payload, pag-lock ng user sa labas ng pangunahing screen para mangalap ng impormasyon ng device, at pag-exfiltrate ng data na ito sa isang server na kinokontrol ng attacker. Bukod pa rito, sinasamantala ng application ang API ng mga serbisyo sa pagiging naa-access upang makuha ang sensitibong impormasyong ipinapakita sa screen, gaya ng mga kredensyal at balanse ng bank account. Binibigyan nito ang sarili ng pahintulot na harangin ang mga mensaheng SMS.

Direktang Pinapatakbo ng mga Threat Actor ang BingoMod RAT

Upang magsagawa ng mga paglilipat ng pera nang direkta mula sa mga nakompromisong device, nagtatatag ang BingoMod ng koneksyon na nakabatay sa socket sa imprastraktura ng Command-and-Control (C2) nito. Nagbibigay-daan ito upang makatanggap ng hanggang 40 remote na command, kabilang ang pagkuha ng mga screenshot sa pamamagitan ng Media Projection API ng Android at pakikipag-ugnayan sa device nang real-time.

Ang diskarteng On-Device Fraud (ODF) na ginagamit ng BingoMod ay nangangailangan ng isang live na operator na manu-manong magproseso ng mga paglilipat ng pera na hanggang €15,000 (~$16,100) bawat transaksyon sa halip na gumamit ng Automated Transfer System (ATS) para sa malakihang pandaraya sa pananalapi.

Bukod pa rito, gumagamit ang malware ng mga diskarte sa pag-obfuscation ng code at maaaring mag-uninstall ng mga arbitrary na application mula sa nakompromisong device, na nagmumungkahi na inuuna ng mga may-akda ang pag-iwas sa pagtuklas at pagiging simple kaysa sa mga advanced na feature.

Higit pa sa real-time na kontrol sa screen, ang BingoMod ay mayroon ding mga kakayahan sa phishing sa pamamagitan ng Overlay Attacks at mga pekeng notification. Hindi tulad ng mga karaniwang overlay na pag-atake na nati-trigger kapag binuksan ang mga partikular na target na aplikasyon, direktang sinisimulan ng BingoMod ang mga pag-atakeng ito sa pamamagitan ng malware operator.