BingoMod Bankacılık Truva Atı
Siber güvenlik araştırmacıları BingoMod adında yeni bir Android Uzaktan Erişim Truva Atı (RAT) keşfetti. Bu kötü amaçlı yazılım, virüslü cihazlardan sahte para transferlerini kolaylaştırır ve varlığının izlerini ortadan kaldırmak için bunları siler.
Mayıs 2024'ün sonlarında ortaya çıkan BingoMod'un aktif olarak geliştirilme aşamasında olduğu düşünülüyor. Kaynak kodunun ilk versiyonları Rumence yazılmış yorumlar içerdiğinden, Truva atının Rumence konuşan bir tehdit aktörüyle bağlantılı olması muhtemeldir.
İçindekiler
BingoMod RAT’ın Tehdit Edici Yetenekleri
BingoMod, en yeni mobil Uzaktan Erişim Truva Atları (RAT'lar) neslinin bir parçasıdır. Gelişmiş uzaktan erişim yetenekleri, tehdit aktörlerinin, cihaz içi dolandırıcılık (ODF) tekniğini kullanarak doğrudan virüs bulaşmış cihazlardan Hesap Devralmaları (ATO'lar) gerçekleştirmesine olanak tanır.
Bu yöntem aynı zamanda Medusa (TangleBot olarak da bilinir), Copybara ve TeaBot (Anatsa olarak da bilinir) gibi diğer Android bankacılık truva atlarında da görülmüştür.
BRATA'ya benzer şekilde BingoMod, virüs bulaşmış cihazdan yapılan hileli aktarımlara ilişkin kanıtları silmek için tasarlanmış ve adli analizleri karmaşık hale getiren bir kendi kendini yok etme mekanizmasına sahiptir. Bu işlev şu anda yalnızca cihazın harici depolama alanını etkilese de, uzaktan erişim özelliklerinin tam fabrika ayarlarına sıfırlama işlemini başlatmak için kullanılabileceğinden şüpheleniliyor.
BingoMod, Görünüşte Yararlı Uygulamalar Görünümü Altında İnsanların Telefonlarının İçine Giriyor
Keşfedilen uygulamalardan bazıları kendilerini güvenlik araçları veya Google Chrome güncellemeleri olarak gizler. Uygulama, smishing taktikleriyle yüklendikten sonra kullanıcıdan erişilebilirlik hizmetleri izinlerini ister ve bu izinleri daha sonra zararlı faaliyetler gerçekleştirmek için kullanır.
Bu faaliyetler arasında birincil verinin dağıtılması, cihaz bilgilerini toplamak için kullanıcıyı ana ekranın dışında kilitlemek ve bu verileri saldırgan tarafından kontrol edilen bir sunucuya sızdırmak yer alıyor. Ayrıca uygulama, kimlik bilgileri ve banka hesap bakiyeleri gibi ekranda görüntülenen hassas bilgileri toplamak için erişilebilirlik hizmetleri API'sinden yararlanıyor. Kendisine SMS mesajlarını dinleme izni verir.
Tehdit Aktörleri BingoMod RAT’ı Doğrudan Çalıştırıyor
BingoMod, ele geçirilen cihazlardan doğrudan para transferlerini gerçekleştirmek için Komuta ve Kontrol (C2) altyapısıyla soket tabanlı bir bağlantı kurar. Bu, Android'in Medya Projeksiyon API'si aracılığıyla ekran görüntüleri almak ve cihazla gerçek zamanlı olarak etkileşimde bulunmak da dahil olmak üzere 40'a kadar uzaktan komut almasına olanak tanır.
BingoMod tarafından kullanılan Cihaz İçi Dolandırıcılık (ODF) tekniği, büyük ölçekli mali dolandırıcılık için Otomatik Transfer Sistemi (ATS) kullanmak yerine, canlı bir operatörün işlem başına 15.000 €'ya (~ 16.100 $) kadar para transferlerini manuel olarak işlemesini gerektirir.
Ek olarak, kötü amaçlı yazılım, kod gizleme tekniklerini kullanıyor ve ele geçirilen cihazdaki rastgele uygulamaları kaldırabiliyor; bu da, yazarların, gelişmiş özelliklere göre tespitten kaçınmaya ve basitliğe öncelik verdiklerini gösteriyor.
BingoMod, gerçek zamanlı ekran kontrolünün ötesinde, Yer Paylaşımlı Saldırılar ve sahte bildirimler yoluyla kimlik avı yeteneklerine de sahiptir. Belirli hedef uygulamalar açıldığında tetiklenen tipik yer paylaşımı saldırılarından farklı olarak BingoMod, bu saldırıları doğrudan kötü amaçlı yazılım operatörü aracılığıyla başlatır.
