Istraživači cyber sigurnosti otkrili su novi Android trojanac za daljinski pristup (RAT) pod nazivom BingoMod koji ne samo da obavlja lažne transfere novca sa kompromitovanih uređaja, već ih i briše u pokušaju da izbriše tragove zlonamjernog softvera.
Italijanska firma za cyber sigurnost Cleafy, koja je otkrila RAT krajem maja 2024., rekla je da je zlonamjerni softver u aktivnom razvoju. Pripisao je Android trojanca vjerovatnom hakeru koji govori rumunski zbog prisustva komentara na rumunskom jeziku u izvornom kodu koji je povezan s ranim verzijama.
“BingoMod pripada modernoj RAT generaciji mobilnog zlonamjernog softvera, jer njegove mogućnosti daljinskog pristupa omogućavaju hakerima (TA) da izvrše preuzimanje računa (ATO) direktno sa zaraženog uređaja, iskorištavajući tako tehniku prevare na uređaju (ODF)”, istraživači Alessandro Strino i Simone Mattia rekli su .
Ovdje je vrijedno spomenuti da je ova tehnika primijećena i kod drugih Android bankovnih trojanaca, kao što su Medusa (aka TangleBot), Copybara i TeaBot (aka Anatsa).
BingoMod, poput BRATA , takođe se ističe po tome što koristi mehanizam za samouništenje koji je dizajniran da ukloni sve dokaze o lažnom prijenosu na zaraženom uređaju kako bi ometao forenzičku analizu. Iako je ova funkcionalnost ograničena na eksternu memoriju uređaja, sumnja se da bi se funkcije daljinskog pristupa mogle koristiti za pokretanje potpunog vraćanja na tvorničke postavke.
Neke od identificiranih aplikacija maskirane su kao antivirusni alati i ažuriranje za Google Chrome. Jednom instalirana putem taktike smishinga, aplikacija traži od korisnika da joj dodijeli dozvole za usluge pristupačnosti, koristeći je za pokretanje zlonamjernih radnji.
Ovo uključuje izvršavanje glavnog korisnog opterećenja i zaključavanje korisnika sa glavnog ekrana radi prikupljanja informacija o uređaju, koje se zatim eksfiltriraju na server koji kontroliše napadač. Takođe zloupotrebljava API usluga pristupačnosti kako bi ukrao osjetljive informacije prikazane na ekranu (npr. akreditive i stanje bankovnih računa) i dao sebi dozvolu za presretanje SMS poruka.
Da bi pokrenuo transfer novca direktno sa kompromitovanih uređaja, BingoMod uspostavlja vezu zasnovanu na utičnici sa infrastrukturom za komandu i kontrolu (C2) za primanje čak 40 komandi na daljinu za snimanje ekrana koristeći Android Media Projection API i stvarnu interakciju sa uređajem – vrijeme.
Ovo takođe znači da se ODF tehnika oslanja na živog operatera da izvrši transfer novca do €15,000 (~$16,100) po transakciji, za razliku od korišćenja automatizovanog sistema transfera ( ATS ) za vršenje finansijskih malverzacija u velikim razmjerama.
Drugi ključni aspekt je naglasak hakera na izbjegavanju otkrivanja korištenjem tehnika zamamljivanja koda i mogućnosti deinstaliranja proizvoljnih aplikacija sa kompromitovanog uređaja, što ukazuje da autori zlonamjernog softvera daju prioritet jednostavnosti nad naprednim funkcijama.
“Pored kontrole ekrana u realnom vremenu, zlonamjerni softver pokazuje mogućnosti krađe identiteta putem Overlay napada i lažnih obavještenja”, rekli su istraživači. “Neobično je da se napadi preklapanja ne pokreću kada se otvore određene ciljne aplikacije, već ih pokreće direktno operater zlonamjernog softvera.”
Izvor:The Hacker News