BingoMod 銀行木馬

Mobile Malware, Banking Trojan 年Mezo年

翻譯為：

網路安全研究人員發現了一種名為 BingoMod 的新 Android 遠端存取木馬 (RAT)。這種惡意軟體有助於從受感染的設備進行欺詐性資金轉移，並擦除它們以消除其存在的痕跡。

BingoMod 於 2024 年 5 月下旬被發現，據信正在積極開發中。該特洛伊木馬很可能與講羅馬尼亞語的威脅行為者有關，因為原始程式碼的早期版本包含用羅馬尼亞語編寫的註釋。

BingoMod 是最新移動遠端存取木馬 (RAT) 的一部分。其先進的遠端存取功能使威脅行為者能夠利用裝置上詐欺 (ODF) 技術直接從受感染的裝置進行帳戶接管 (ATO)。

這種方法也出現在其他 Android 銀行木馬中，例如Medusa （也稱為 TangleBot）、Copybara 和TeaBot （也稱為 Anatsa）。

與BRATA類似，BingoMod 具有自毀機制，旨在消除受感染裝置中欺詐性傳輸的證據，從而使取證分析變得複雜。雖然此功能目前僅影響設備的外部存儲，但懷疑遠端存取功能可用於啟動完全恢復出廠設定。

一些發現的應用程式將自己偽裝成安全工具或 Google Chrome 更新。透過網路釣魚策略安裝後，該應用程式會要求使用者提供輔助服務權限，然後使用該權限執行有害活動。

這些活動包括部署主要有效負載、將用戶鎖定在主螢幕之外以收集設備信息，以及將該資料洩露到攻擊者控制的伺服器。此外，該應用程式還利用輔助服務 API 來獲取螢幕上顯示的敏感訊息，例如憑證和銀行帳戶餘額。它授予自己攔截簡訊的權限。

為了直接從受感染的設備進行資金轉移，BingoMod 與其命令和控制 (C2) 基礎設施建立了基於套接字的連接。這使得它能夠接收多達 40 個遠端命令，包括透過 Android 的媒體投影 API 截取螢幕截圖以及與裝置即時互動。

BingoMod 使用的裝置上詐騙 (ODF) 技術需要現場操作員手動處理每筆交易高達 15,000 歐元（約 16,100 美元）的轉賬，而不是使用自動轉帳系統 (ATS) 進行大規模金融詐欺。

此外，該惡意軟體採用程式碼混淆技術，可以從受感染的設備上卸載任意應用程序，這表明作者優先考慮逃避檢測和簡單性而不是高級功能。

除了即時螢幕控制之外，BingoMod 還具有透過覆蓋攻擊和虛假通知進行網路釣魚的功能。與開啟特定目標應用程式時觸發的典型覆蓋攻擊不同，BingoMod 直接透過惡意軟體操作員發動這些攻擊。

搜索