【安全圈】新型安卓银行特洛伊木马 BingoMod 盗取资金并清除设备

关键词

网络攻击

网络安全研究人员发现了一种名为 BingoMod 的新型 Android 远程访问木马 （RAT），它不仅可以从受感染的设备进行欺诈性汇款，还可以擦除它们以试图擦除恶意软件的痕迹。

意大利网络安全公司 Cleafy 在 2024 年 5 月底发现了 RAT，该公司表示该恶意软件正在积极开发中。它将 Android 特洛伊木马归咎于可能讲罗马尼亚语的威胁行为者，因为与早期版本相关的源代码中存在罗马尼亚语注释。

研究人员亚历山德罗·斯特里诺（Alessandro Sttrino）和西蒙·马蒂亚（Simone Mattia）说：“BingoMod属于现代RAT一代移动恶意软件，因为它的远程访问功能允许威胁行为者（TA）直接从受感染的设备进行帐户接管（ATO），从而利用设备上的欺诈（ODF）技术。

这里值得一提的是，这种技术已经在其他 Android 银行木马中观察到，例如 Medusa（又名 TangleBot）、Copybara 和 TeaBot（又名 Anatsa）。

BingoMod 与 BRATA 一样，也因采用自毁机制而脱颖而出，该机制旨在消除受感染设备上欺诈性转移的任何证据，从而阻碍取证分析。虽然此功能仅限于设备的外部存储，但怀疑远程访问功能可用于启动完全的出厂设置。

一些已识别的应用程序伪装成防病毒工具和 Google Chrome 的更新。安装后，该应用程序会提示用户授予其辅助功能服务权限，并使用它来启动恶意操作。

这包括执行主有效载荷并将用户锁定在主屏幕之外以收集设备信息，然后将这些信息泄露到攻击者控制的服务器。它还滥用辅助功能服务API来窃取屏幕上显示的敏感信息（例如，凭据和银行账户余额），并授予自己拦截SMS消息的权限。

为了直接从受感染的设备发起汇款，BingoMod 与命令和控制基础设施 （C2） 建立了基于套接字的连接，以远程接收多达 40 个命令，以使用 Android 的媒体投影 API 截取屏幕截图并与设备实时交互。

这也意味着 ODF 技术依赖于现场操作员每笔交易执行高达 15,000 欧元（~16,100 美元）的汇款，而不是利用自动转账系统 （ATS） 进行大规模金融欺诈。

另一个关键方面是威胁行为者强调使用代码混淆技术逃避检测，以及从受感染设备中卸载任意应用程序的能力，这表明恶意软件作者优先考虑简单性而不是高级功能。

“除了实时屏幕控制外，该恶意软件还通过覆盖攻击和虚假通知显示网络钓鱼功能，”研究人员说。“不寻常的是，覆盖攻击不是在打开特定目标应用程序时触发的，而是由恶意软件操作员直接发起的。”

END

阅读推荐

【安全圈】“网络身份证”试点上线：微信、小红书等APP已加入

【安全圈】揭秘“Sitting Ducks”DNS攻击：黑客如何毫不费力地接管你的域名

【安全圈】警惕！黑客正利用Cloudflare服务实施远程控制攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

**支持「**安全圈」就点个三连吧！