BingoMod Banking-Trojaner
Cybersicherheitsforscher haben einen neuen Android Remote Access Trojan (RAT) namens BingoMod entdeckt. Diese Malware ermöglicht betrügerische Geldüberweisungen von infizierten Geräten und löscht diese, um Spuren ihrer Präsenz zu beseitigen.
BingoMod wurde Ende Mai 2024 entdeckt und befindet sich vermutlich in der aktiven Entwicklung. Der Trojaner ist wahrscheinlich mit einem rumänischsprachigen Bedrohungsakteur verbunden, da frühe Versionen des Quellcodes Kommentare auf Rumänisch enthalten.
Inhaltsverzeichnis
Die bedrohlichen Fähigkeiten des BingoMod RAT
BingoMod gehört zur neuesten Generation mobiler Remote Access Trojaner (RATs). Seine erweiterten Fernzugriffsfunktionen ermöglichen es Bedrohungsakteuren, Account Takeovers (ATOs) direkt von infizierten Geräten aus durchzuführen, indem sie eine On-Device-Fraud-Technik (ODF) verwenden.
Diese Methode wurde auch bei anderen Android-Banking-Trojanern beobachtet, wie etwa Medusa (auch bekannt als TangleBot), Copybara und TeaBot (auch bekannt als Anatsa).
Ähnlich wie BRATA verfügt BingoMod über einen Selbstzerstörungsmechanismus, der Beweise für betrügerische Übertragungen vom infizierten Gerät löscht und so die forensische Analyse erschwert. Obwohl diese Funktion derzeit nur den externen Speicher des Geräts betrifft, besteht der Verdacht, dass die Fernzugriffsfunktionen verwendet werden könnten, um einen vollständigen Werksreset einzuleiten.
BingoMod dringt unter dem Deckmantel scheinbar nützlicher Anwendungen in die Telefone der Benutzer ein
Einige der entdeckten Anwendungen tarnen sich als Sicherheitstools oder Google Chrome-Updates. Nach der Installation durch Smishing-Taktiken fragt die App den Benutzer nach Berechtigungen für Barrierefreiheitsdienste, die sie dann für schädliche Aktivitäten verwendet.
Zu diesen Aktivitäten gehören das Bereitstellen der primären Nutzlast, das Aussperren des Benutzers vom Hauptbildschirm, um Geräteinformationen zu sammeln, und das Exfiltrieren dieser Daten auf einen vom Angreifer kontrollierten Server. Darüber hinaus nutzt die Anwendung die API der Zugänglichkeitsdienste, um vertrauliche Informationen, die auf dem Bildschirm angezeigt werden, wie z. B. Anmeldeinformationen und Bankkontostände, abzufangen. Sie erteilt sich selbst die Berechtigung, SMS-Nachrichten abzufangen.
Bedrohungsakteure betreiben den BingoMod RAT direkt
Um Geldtransfers direkt von kompromittierten Geräten aus durchzuführen, stellt BingoMod eine Socket-basierte Verbindung mit seiner Command-and-Control-Infrastruktur (C2) her. Dadurch kann es bis zu 40 Remote-Befehle empfangen, darunter Screenshots über die Media Projection API von Android erstellen und in Echtzeit mit dem Gerät interagieren.
Die von BingoMod verwendete On-Device-Fraud-Technik (ODF) erfordert, dass ein Live-Operator Geldüberweisungen von bis zu 15.000 € (ca. 16.100 $) pro Transaktion manuell abwickelt, anstatt ein automatisiertes Überweisungssystem (ATS) für Finanzbetrug im großen Stil zu verwenden.
Darüber hinaus verwendet die Malware Code-Verschleierungstechniken und kann beliebige Anwendungen vom infizierten Gerät deinstallieren. Dies lässt darauf schließen, dass die Autoren Wert auf die Vermeidung von Erkennung und Einfachheit legen, anstatt auf erweiterte Funktionen.
Neben der Echtzeit-Bildschirmsteuerung verfügt BingoMod auch über Phishing-Funktionen durch Overlay-Angriffe und gefälschte Benachrichtigungen. Im Gegensatz zu typischen Overlay-Angriffen, die beim Öffnen bestimmter Zielanwendungen ausgelöst werden, initiiert BingoMod diese Angriffe direkt über den Malware-Betreiber.
