Банківський троян BingoMod
Дослідники з кібербезпеки виявили новий троян Android Remote Access (RAT) під назвою BingoMod. Ця шкідлива програма сприяє шахрайським переказам грошей із заражених пристроїв і видаляє їх, щоб усунути сліди своєї присутності.
Вважається, що BingoMod, відкритий наприкінці травня 2024 року, активно розробляється. Троян, ймовірно, пов’язаний з румуномовним загрозником, оскільки ранні версії вихідного коду містять коментарі, написані румунською мовою.
Зміст
Загрозливі можливості BingoMod RAT
BingoMod є частиною останнього покоління мобільних троянів віддаленого доступу (RAT). Розширені можливості віддаленого доступу дозволяють зловмисникам здійснювати захоплення облікових записів (ATO) безпосередньо із заражених пристроїв, використовуючи техніку шахрайства на пристрої (ODF).
Цей метод також був помічений в інших банківських троянах Android, таких як Medusa (також відомий як TangleBot), Copybara та TeaBot (також відомий як Anatsa).
Подібно до BRATA , BingoMod має механізм самознищення, призначений для видалення доказів шахрайських переказів із зараженого пристрою, що ускладнює судово-медичний аналіз. Хоча ця функція зараз впливає лише на зовнішню пам’ять пристрою, існує підозра, що можливості віддаленого доступу можуть бути використані для ініціювання повного скидання до заводських налаштувань.
BingoMod проникає всередину телефонів людей під виглядом начебто корисних програм
Деякі з виявлених програм маскуються під інструменти безпеки або оновлення Google Chrome. Після встановлення за допомогою тактики smishing програма запитує у користувача дозволи служб доступності, які потім використовує для виконання шкідливих дій.
Ці дії включають розгортання основного корисного навантаження, блокування користувача з головного екрана для збору інформації про пристрій і передачу цих даних на сервер, контрольований зловмисником. Крім того, програма використовує API служб спеціальних можливостей для збору конфіденційної інформації, яка відображається на екрані, як-от облікові дані та баланс банківського рахунку. Він надає собі дозвіл на перехоплення SMS-повідомлень.
Зловмисники керують BingoMod RAT безпосередньо
Щоб здійснювати грошові перекази безпосередньо зі зламаних пристроїв, BingoMod встановлює з’єднання на основі сокетів зі своєю інфраструктурою командування та контролю (C2). Це дозволяє йому отримувати до 40 віддалених команд, включаючи створення скріншотів через API Media Projection Android і взаємодію з пристроєм у режимі реального часу.
Техніка шахрайства на пристрої (ODF), яку використовує BingoMod, вимагає від оператора вручну обробляти грошові перекази на суму до 15 000 євро (~16 100 доларів США) за транзакцію замість використання автоматизованої системи переказів (ATS) для масштабного фінансового шахрайства.
Крім того, зловмисне програмне забезпечення використовує методи обфускації коду та може видаляти довільні програми зі зламаного пристрою, що свідчить про те, що автори віддають перевагу уникненню виявлення та простоті над розширеними функціями.
Крім керування екраном у режимі реального часу, BingoMod також має можливості фішингу через атаки Overlay і підроблені сповіщення. На відміну від типових атак накладення, які запускаються, коли відкриваються певні цільові програми, BingoMod ініціює ці атаки безпосередньо через оператора шкідливого ПЗ.
