长亭百川云 - 文章详情

【安全圈】新型安卓银行特洛伊木马 BingoMod 盗取资金并清除设备

安全圈

51

2024-08-08

关键词

网络攻击

网络安全研究人员发现了一种名为 BingoMod 的新型 Android 远程访问木马 (RAT),它不仅可以从受感染的设备进行欺诈性汇款,还可以擦除它们以试图擦除恶意软件的痕迹。

意大利网络安全公司 Cleafy 在 2024 年 5 月底发现了 RAT,该公司表示该恶意软件正在积极开发中。它将 Android 特洛伊木马归咎于可能讲罗马尼亚语的威胁行为者,因为与早期版本相关的源代码中存在罗马尼亚语注释。

研究人员亚历山德罗·斯特里诺(Alessandro Sttrino)和西蒙·马蒂亚(Simone Mattia)说:“BingoMod属于现代RAT一代移动恶意软件,因为它的远程访问功能允许威胁行为者(TA)直接从受感染的设备进行帐户接管(ATO),从而利用设备上的欺诈(ODF)技术。

这里值得一提的是,这种技术已经在其他 Android 银行木马中观察到,例如 Medusa(又名 TangleBot)、Copybara 和 TeaBot(又名 Anatsa)。

BingoMod 与 BRATA 一样,也因采用自毁机制而脱颖而出,该机制旨在消除受感染设备上欺诈性转移的任何证据,从而阻碍取证分析。虽然此功能仅限于设备的外部存储,但怀疑远程访问功能可用于启动完全的出厂设置。

一些已识别的应用程序伪装成防病毒工具和 Google Chrome 的更新。安装后,该应用程序会提示用户授予其辅助功能服务权限,并使用它来启动恶意操作。

这包括执行主有效载荷并将用户锁定在主屏幕之外以收集设备信息,然后将这些信息泄露到攻击者控制的服务器。它还滥用辅助功能服务API来窃取屏幕上显示的敏感信息(例如,凭据和银行账户余额),并授予自己拦截SMS消息的权限。

为了直接从受感染的设备发起汇款,BingoMod 与命令和控制基础设施 (C2) 建立了基于套接字的连接,以远程接收多达 40 个命令,以使用 Android 的媒体投影 API 截取屏幕截图并与设备实时交互。

这也意味着 ODF 技术依赖于现场操作员每笔交易执行高达 15,000 欧元(~16,100 美元)的汇款,而不是利用自动转账系统 (ATS) 进行大规模金融欺诈。

另一个关键方面是威胁行为者强调使用代码混淆技术逃避检测,以及从受感染设备中卸载任意应用程序的能力,这表明恶意软件作者优先考虑简单性而不是高级功能。

“除了实时屏幕控制外,该恶意软件还通过覆盖攻击和虚假通知显示网络钓鱼功能,”研究人员说。“不寻常的是,覆盖攻击不是在打开特定目标应用程序时触发的,而是由恶意软件操作员直接发起的。”

END

阅读推荐


【安全圈】“网络身份证”试点上线:微信、小红书等APP已加入


【安全圈】揭秘“Sitting Ducks”DNS攻击:黑客如何毫不费力地接管你的域名


【安全圈】警惕!黑客正利用Cloudflare服务实施远程控制攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

**支持「**安全圈」就点个三连吧!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2