BingoMod 银行木马

通过Mezo在 Mobile Malware, Banking Trojan

翻译为：

网络安全研究人员发现了一种名为 BingoMod 的新型 Android 远程访问木马 (RAT)。该恶意软件会从受感染的设备中协助进行欺诈性资金转移，并清除这些设备以消除其存在的痕迹。

BingoMod 于 2024 年 5 月下旬被发现，据信正在积极开发中。该木马可能与讲罗马尼亚语的威胁行为者有关，因为源代码的早期版本包含用罗马尼亚语编写的注释。

BingoMod 是最新一代移动远程访问木马 (RAT) 之一。其先进的远程访问功能使威胁行为者能够利用设备内欺诈 (ODF) 技术直接从受感染的设备执行帐户接管 (ATO)。

其他 Android 银行木马也曾发现过这种方法，例如Medusa （又名 TangleBot）、Copybara 和TeaBot （又名 Anatsa）。

与BRATA类似，BingoMod 具有自毁机制，旨在从受感染的设备中删除欺诈性传输的证据，使取证分析变得复杂。虽然此功能目前仅影响设备的外部存储，但人们怀疑远程访问功能可用于启动完全恢复出厂设置。

一些被发现的应用程序伪装成安全工具或 Google Chrome 更新。通过短信钓鱼策略安装后，该应用程序会要求用户提供无障碍服务权限，然后利用这些权限执行有害活动。

这些活动包括部署主要有效载荷、锁定用户主屏幕以收集设备信息，并将这些数据泄露给攻击者控制的服务器。此外，该应用程序还利用无障碍服务 API 来收集屏幕上显示的敏感信息，例如凭证和银行账户余额。它授予自己拦截短信的权限。

为了直接从受感染的设备进行资金转账，BingoMod 与其命令和控制 (C2) 基础设施建立了基于套接字的连接。这使它能够接收多达 40 个远程命令，包括通过 Android 的媒体投影 API 截取屏幕截图以及实时与设备交互。

BingoMod 使用的设备欺诈 (ODF) 技术要求现场操作员手动处理每笔交易高达 15,000 欧元（约合 16,100 美元）的资金转账，而不是使用自动转账系统 (ATS) 进行大规模金融欺诈。

此外，该恶意软件采用了代码混淆技术，可以从受感染的设备中卸载任意应用程序，这表明作者优先考虑逃避检测和简单性而不是高级功能。

除了实时屏幕控制之外，BingoMod 还具有通过覆盖攻击和虚假通知进行网络钓鱼的功能。与打开特定目标应用程序时触发的典型覆盖攻击不同，BingoMod 直接通过恶意软件操作员发起这些攻击。

搜索