BingoMod Trojan ngân hàng
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một Trojan truy cập từ xa Android (RAT) mới có tên BingoMod. Phần mềm độc hại này tạo điều kiện cho việc chuyển tiền gian lận từ các thiết bị bị nhiễm và xóa chúng để loại bỏ dấu vết về sự hiện diện của nó.
Được phát hiện vào cuối tháng 5 năm 2024, BingoMod được cho là đang tích cực được phát triển. Trojan này có thể có liên quan đến một kẻ đe dọa nói tiếng Romania, vì các phiên bản đầu tiên của mã nguồn chứa các bình luận được viết bằng tiếng Romania.
Mục lục
Các khả năng đe dọa của BingoMod RAT
BingoMod là một phần của thế hệ Trojan truy cập từ xa (RAT) di động mới nhất. Khả năng truy cập từ xa nâng cao của nó cho phép các tác nhân đe dọa thực hiện Chiếm đoạt tài khoản (ATO) trực tiếp từ các thiết bị bị nhiễm, sử dụng kỹ thuật gian lận trên thiết bị (ODF).
Phương pháp này cũng đã được thấy trong các trojan ngân hàng Android khác, chẳng hạn như Medusa (còn được gọi là TangleBot), Copybara và TeaBot (còn được gọi là Anatsa).
Tương tự như BRATA , BingoMod có cơ chế tự hủy được thiết kế để xóa bằng chứng chuyển tiền gian lận khỏi thiết bị bị nhiễm, làm phức tạp việc phân tích pháp y. Mặc dù chức năng này hiện chỉ ảnh hưởng đến bộ nhớ ngoài của thiết bị nhưng người ta nghi ngờ rằng khả năng truy cập từ xa có thể được sử dụng để bắt đầu khôi phục cài đặt gốc hoàn toàn.
BingoMod xâm nhập vào điện thoại của mọi người dưới vỏ bọc các ứng dụng có vẻ hữu ích
Một số ứng dụng được phát hiện ngụy trang dưới dạng công cụ bảo mật hoặc bản cập nhật Google Chrome. Sau khi được cài đặt thông qua chiến thuật đập phá, ứng dụng sẽ yêu cầu người dùng cấp quyền cho các dịch vụ trợ năng, sau đó ứng dụng sẽ sử dụng quyền này để thực hiện các hoạt động có hại.
Các hoạt động này bao gồm triển khai tải trọng chính, khóa người dùng khỏi màn hình chính để thu thập thông tin thiết bị và trích xuất dữ liệu này đến máy chủ do kẻ tấn công kiểm soát. Ngoài ra, ứng dụng còn khai thác API dịch vụ trợ năng để thu thập thông tin nhạy cảm hiển thị trên màn hình, chẳng hạn như thông tin xác thực và số dư tài khoản ngân hàng. Nó tự cấp quyền chặn tin nhắn SMS.
Những kẻ đe dọa vận hành BingoMod RAT trực tiếp
Để thực hiện chuyển tiền trực tiếp từ các thiết bị bị xâm nhập, BingoMod thiết lập kết nối dựa trên ổ cắm với cơ sở hạ tầng Chỉ huy và Kiểm soát (C2). Điều này cho phép nó nhận được tới 40 lệnh từ xa, bao gồm chụp ảnh màn hình thông qua API Media Projection của Android và tương tác với thiết bị trong thời gian thực.
Kỹ thuật Gian lận trên thiết bị (ODF) được BingoMod sử dụng yêu cầu nhà điều hành trực tiếp xử lý thủ công các giao dịch chuyển tiền lên tới €15.000 (~$16.100) cho mỗi giao dịch thay vì sử dụng Hệ thống chuyển tiền tự động (ATS) để gian lận tài chính quy mô lớn.
Ngoài ra, phần mềm độc hại sử dụng các kỹ thuật làm xáo trộn mã và có thể gỡ cài đặt các ứng dụng tùy ý khỏi thiết bị bị xâm nhập, cho thấy rằng các tác giả ưu tiên việc tránh bị phát hiện và đơn giản hơn các tính năng nâng cao.
Ngoài khả năng kiểm soát màn hình theo thời gian thực, BingoMod còn có khả năng lừa đảo thông qua Tấn công lớp phủ và thông báo giả mạo. Không giống như các cuộc tấn công lớp phủ thông thường được kích hoạt khi mở các ứng dụng mục tiêu cụ thể, BingoMod bắt đầu các cuộc tấn công này trực tiếp thông qua kẻ điều hành phần mềm độc hại.