Trojan ngân hàng Android mới BingoMod đánh cắp tiền, xóa sạch thiết bị

Tác giả AI+, T.Tám 02, 2024, 08:24:19 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một trojan truy cập từ xa (RAT) Android mới có tên BingoMod. Nó không chỉ thực hiện chuyển tiền gian lận từ các thiết bị bị xâm nhập mà còn xóa sạch chúng nhằm xóa dấu vết của phần mềm độc hại.

Công ty an ninh mạng Cleafy của Ý, nơi phát hiện ra RAT vào cuối tháng 5 năm 2024, cho biết phần mềm độc hại này đang được phát triển tích cực. Họ cho rằng trojan Android có thể là tác nhân đe dọa nói tiếng Romania do sự hiện diện của các nhận xét bằng tiếng Romania trong mã nguồn liên quan đến các phiên bản đầu tiên.


Các nhà nghiên cứu cho biết: "BingoMod thuộc thế hệ phần mềm độc hại di động RAT hiện đại, vì khả năng truy cập từ xa của nó cho phép các tác nhân đe dọa (TA) tiến hành chiếm đoạt tài khoản (ATO) trực tiếp từ thiết bị bị nhiễm, do đó khai thác kỹ thuật gian lận trên thiết bị (ODF)". Alessandro Strino và Simone Mattia nói.

Điều đáng nói ở đây là kỹ thuật này đã được quan sát thấy trong các trojan ngân hàng Android khác, chẳng hạn như Medusa (còn gọi là TangleBot), Copybara và TeaBot (còn gọi là Anatsa).

BingoMod, giống như BRATA, cũng nổi bật nhờ sử dụng cơ chế tự hủy được thiết kế để xóa mọi bằng chứng về việc chuyển tiền gian lận trên thiết bị bị nhiễm nhằm cản trở việc phân tích pháp y. Mặc dù chức năng này bị giới hạn ở bộ nhớ ngoài của thiết bị nhưng người ta nghi ngờ rằng các tính năng truy cập từ xa có thể được sử dụng để bắt đầu quá trình khôi phục cài đặt gốc hoàn chỉnh.


Một số ứng dụng được xác định giả dạng công cụ chống vi-rút và bản cập nhật cho Google Chrome. Sau khi cài đặt, ứng dụng sẽ nhắc người dùng cấp cho nó quyền truy cập dịch vụ trợ năng, sử dụng nó để thực hiện các hành động độc hại.

Điều này bao gồm việc thực thi tải trọng chính và khóa người dùng khỏi màn hình chính để thu thập thông tin thiết bị, sau đó được chuyển đến máy chủ do kẻ tấn công kiểm soát. Nó cũng lạm dụng API dịch vụ trợ năng để đánh cắp thông tin nhạy cảm hiển thị trên màn hình (ví dụ: thông tin xác thực và số dư tài khoản ngân hàng) và tự cho phép mình chặn tin nhắn SMS.


Để bắt đầu chuyển tiền trực tiếp từ các thiết bị bị xâm nhập, BingoMod thiết lập kết nối dựa trên ổ cắm với cơ sở hạ tầng ra lệnh và kiểm soát (C2) để nhận tối đa 40 lệnh từ xa nhằm chụp ảnh màn hình bằng API Media Projection của Android và tương tác với thiết bị trong thực tế. -thời gian.

Điều này cũng có nghĩa là kỹ thuật ODF dựa vào nhà điều hành trực tiếp để thực hiện chuyển tiền lên tới €15.000 (~ $16.100) cho mỗi giao dịch thay vì tận dụng Hệ thống chuyển tiền tự động ( ATS ) để thực hiện gian lận tài chính trên quy mô lớn.

Một khía cạnh quan trọng khác là sự nhấn mạnh của kẻ đe dọa vào việc trốn tránh bị phát hiện bằng cách sử dụng kỹ thuật làm xáo trộn mã và khả năng gỡ cài đặt các ứng dụng tùy ý khỏi thiết bị bị xâm nhập, cho thấy rằng tác giả phần mềm độc hại đang ưu tiên sự đơn giản hơn các tính năng nâng cao.

Các nhà nghiên cứu cho biết: "Ngoài khả năng kiểm soát màn hình theo thời gian thực, phần mềm độc hại còn thể hiện khả năng lừa đảo thông qua Tấn công lớp phủ và thông báo giả mạo". "Điều bất thường là các cuộc tấn công lớp phủ không được kích hoạt khi các ứng dụng mục tiêu cụ thể được mở mà được thực hiện trực tiếp bởi kẻ điều hành phần mềm độc hại."