关注公众号网络研究观获取更多内容。
小心 BingoMod!这种危险的 Android 恶意软件会窃取您的钱财、清除您的手机数据并控制您的设备。
了解如何保护自己免受这种阴险威胁。保持在线安全!
计算机安全解决方案提供商 Cleafy 发现了一种狡猾的远程访问木马 (RAT)。
该木马针对 Android 用户,通过接管账户来窃取敏感信息和资金。
这种恶意软件被称为 BingoMod,可执行覆盖攻击并通过类似虚拟网络计算 (VNC) 的功能提供远程访问。
这种多功能木马于 2024 年 5 月被发现。
它可以通过执行设备欺诈 (ODF) 来绕过身份验证、验证和行为检测保护。
就像Medusa、Copybara和Teabot等其他几种银行木马所见的那样。
BingoMod 以合法应用程序的名义运行,经常伪装成“APP Protection”、“AVG AntiVirus & Security”或“WebSecurity”等移动安全工具。
诱骗用户在其设备上下载/安装恶意软件。
根据 Cleafy 的博客文章,安装后,BingoMod 会请求 Accessibility Services 权限来执行恶意负载。
它旨在通过键盘记录向其操作员提供敏感数据,键盘记录利用 Accessibility Services 窃取登录凭据或帐户余额,以及短信拦截,短信拦截会监控金融机构用于交易认证号码 (TAN) 的短信。
它还与 ODF 的 C2 建立了基于套接字的连接。
该恶意软件提供大约 40 种远程控制功能,包括通过类似 VNC 的例程进行实时屏幕控制和屏幕交互。
它使用 Android 的 Media Projection API 来捕获受害者设备屏幕的屏幕截图,从而提供全面的概览。
黑客可以向受影响的设备发送任意命令,从而攻击银行应用程序并窃取每笔交易高达 15,000 欧元的资金。
该恶意软件允许威胁行为者从受感染的设备发送短信,从而可能进一步传播该恶意软件。
为了防止被删除,用户无法编辑系统设置、阻止特定应用程序以及卸载应用程序。
为了进一步掩盖其踪迹,BingoMod 采用了代码混淆技术,使安全软件难以检测到它的存在。
该恶意软件的一些变种可以通过恢复出厂设置来擦除设备的数据,以消除盗窃证据,这种策略让人想起 Brata 恶意软件,但并没有直接联系。
BingoMod 目前针对的是使用英语、罗马尼亚语和意大利语的设备。
研究人员认为,该病毒目前处于开发阶段,运营商正在试验混淆技术,以降低反病毒解决方案的检测率。
我们建议采取主动的移动安全措施来预防此类威胁。
务必谨慎下载应用程序,并密切关注应用程序权限,尤其是当它们请求访问无障碍服务或屏幕截图等功能时。
使用可靠的移动安全解决方案,并定期使用最新的安全补丁更新您的 Android 设备和应用程序。
BingoMod:窃取金钱和擦除数据的新型 Android RAT
关键点
2024 年 5 月底,Cleafy TIR 团队发现并分析了一个新的 Android RAT。由于我们没有找到任何已知家族的参考资料,我们决定将这个新家族命名为BingoMod。
BingoMod的主要目标是通过账户接管(ATO) 使用一种众所周知的技术(称为设备欺诈(ODF))从受感染的设备发起资金转账。它旨在绕过用于强制用户身份验证和认证的银行对策,并结合银行用于识别可疑资金转账的行为检测技术。
在受害者设备上安装后,BingoMod 会利用各种权限(包括辅助功能服务)悄悄窃取敏感信息,包括凭证、短信和当前账户余额。此外,该恶意软件还配备了主动功能,使其能够进行覆盖攻击并使用类似 VNC 的功能远程访问受感染的设备。
成功进行欺诈性转移后,受感染的设备通常会被清除,从而消除 BingoMod 活动的任何痕迹,以阻碍法医调查。在 BingoMod 调查期间出现的另一个有趣元素与目标设备有关,其中包括三种语言:英语、罗马尼亚语和意大利语。
在撰写本文时,BingoMod 正处于开发阶段,开发人员正在尝试使用混淆技术来降低其对 AV 解决方案的检测率。从收集到的整个样本来看,人们更愿意尝试多种反分析配置,而不是让恶意软件在功能上变得更加复杂。
根据恶意软件代码中所识别的评论,开发人员可能是罗马尼亚语使用者。
执行摘要
2024 年 5 月底,Cleafy 的遥测数据中出现了一种新的 Android RAT。由于缺乏信息,也没有针对该恶意软件家族的适当命名法,我们决定将其命名为BingoMod,以便在我们的威胁情报分类法中对其进行跟踪。该命名法基于该恶意软件的核心组件,该组件在早期被称为“ChrUpdate”,但后来更名为“ BingoMod ”。
BingoMod属于现代 RAT 一代移动恶意软件,因为其远程访问功能允许威胁行为者 (TA)直接从受感染的设备进行帐户接管(ATO),从而利用设备欺诈(ODF) 技术。最近,其他银行木马(如Medusa、Copybara和Teabot)已经发现了这种技术的整合。
这些技术有几个优点:它们需要的开发人员技能较少,将恶意软件的目标范围扩大到任何银行,并绕过多家银行和金融服务机构实施的各种行为检测对策。然而,这种优势并非毫无代价,这种技术的缺点之一依赖于现场操作员,操作员需要插入和授权转账,这隐含地意味着其规模因子降低。
BingoMod 与Brata的运营模式类似,在成功进行欺诈性转移后会使用设备擦除功能。这种自毁机制旨在消除 BingoMod 在受感染设备上的任何活动痕迹,从而有效地阻碍取证分析,并使研究人员更难识别和归因事件。这种策略在 Android 领域相对罕见,这表明 BingoMod 的开发人员可能知道 Brata 的方法并将其纳入他们的方法论中。
此外,值得一提的是,该样本尚处于开发初期,目前还很难预测其将朝哪个方向发展。然而,开发人员致力于尝试混淆技术,表明他们打算采用一种更具投机性的方法,而不是像SharkBot或 Gustuff 等恶意软件中已经看到的定制方法。
下表总结了 BingoMod 活动背后的 TTP:
| 第一个证据 | 2024 年 5 月 |
|---|---|
| 状态 | 有效(2024 年 7 月) |
| 受影响实体 | 零售银行 |
| 目标操作系统 | Android 设备 |
| 目标国家 | 它 |
| 感染链 | 社会工程学(短信网络钓鱼) -> 侧载 |
| 欺诈场景 | 设备内欺诈 (ODF) |
| 首选现金提取 | 即时/SEPA 转账 |
| 处理金额(每次转账) | 最高 15,000 欧元 |
附录中提供的所有检测到的样本都被伪装成合法的安全 工具 来保护设备。
图 1-BingoMod 使用的常见诱饵
