Cybersecurity-onderzoekers hebben een nieuwe Android-trojan voor externe toegang (RAT) ontdekt, genaamd BingoMod die niet alleen frauduleuze geldtransacties uitvoert vanaf de gecompromitteerde apparaten, maar deze ook wist in een poging om sporen van de malware uit te wissen.
Het Italiaanse cybersecuritybedrijf Cleafy, dat de RAT eind mei 2024 ontdekte, zei dat de malware nog in ontwikkeling is. Het schreef de Android-trojan toe aan een waarschijnlijk Roemeens sprekende dreigingsactor vanwege de aanwezigheid van Roemeenstalige opmerkingen in de broncode die aan vroege versies was gekoppeld.
“BingoMod behoort tot de moderne RAT-generatie van mobiele malware, omdat de mogelijkheden voor externe toegang het kwaadwillenden (TA’s) mogelijk maken om Account Takeover (ATO) rechtstreeks vanaf het geïnfecteerde apparaat uit te voeren, en zo misbruik te maken van de on-device fraud (ODF)-techniek”, aldus onderzoekers Alessandro Strino en Simone Mattia.
Het is de moeite waard om hier te vermelden dat deze techniek ook is waargenomen bij andere Android-bankingtrojans, zoals Medusa (ook bekend als TangleBot), Copybara en TeaBot (ook bekend als Anatsa).
BingoMod, net als BRATA, onderscheidt zich ook door het gebruik van een zelfvernietigingsmechanisme dat is ontworpen om elk bewijs van de frauduleuze overdracht op het geïnfecteerde apparaat te verwijderen om zo forensische analyse te belemmeren. Hoewel deze functionaliteit beperkt is tot de externe opslag van het apparaat, wordt vermoed dat de functies voor externe toegang kunnen worden gebruikt om een volledige fabrieksreset te initiëren.
Sommige van de geïdentificeerde apps vermommen zich als antivirustools en een update voor Google Chrome. Na installatie vraagt de app de gebruiker om de app toegankelijkheidsservicesmachtigingen te verlenen, waarmee schadelijke acties kunnen worden gestart.
Dit omvat het uitvoeren van de hoofdpayload en het blokkeren van de gebruiker van het hoofdscherm om apparaatinformatie te verzamelen, die vervolgens wordt geëxfiltreerd naar een door een aanvaller gecontroleerde server. Het misbruikt ook de toegankelijkheidsservices-API om gevoelige informatie te stelen die op het scherm wordt weergegeven (bijvoorbeeld inloggegevens en bankrekeningsaldi) en geeft zichzelf toestemming om sms-berichten te onderscheppen.
Om geldtransacties rechtstreeks vanaf gecompromitteerde apparaten te initiëren, maakt BingoMod een socket-gebaseerde verbinding met de command-and-control-infrastructuur (C2). Op die manier ontvangt het systeem maximaal 40 opdrachten op afstand om screenshots te maken met behulp van de Media Projection API van Android en in realtime met het apparaat te communiceren.
Dit betekent ook dat de ODF-techniek afhankelijk is van een echte operator die een geldtransactie van maximaal € 15.000 (~$ 16.100) per transactie uitvoert, in tegenstelling tot het gebruik van een geautomatiseerd overdrachtssysteem (ATS) om financiële fraude op grote schaal uit te voeren.
Een ander belangrijk aspect is de nadruk die de kwaadwillende partij legt op het omzeilen van detectie door middel van codeverduisteringstechnieken en de mogelijkheid om willekeurige apps van het gecompromitteerde apparaat te verwijderen. Dit geeft aan dat de makers van de malware de voorkeur geven aan eenvoud boven geavanceerde functies.
“Naast realtime schermcontrole toont de malware phishingmogelijkheden via Overlay Attacks en nepmeldingen”, aldus de onderzoekers. “Ongewoon genoeg worden overlay-aanvallen niet geactiveerd wanneer specifieke doel-apps worden geopend, maar worden ze rechtstreeks door de malware-operator geïnitieerd.”
