网络安全研究人员发现了一种名为 BingoMod 的新型 Android 远程访问木马 (RAT),它不仅可以从受感染的设备进行欺诈性汇款,还可以擦除它们以试图擦除恶意软件的痕迹。
意大利网络安全公司 Cleafy 在 2024 年 5 月底发现了 RAT,该公司表示该恶意软件正在积极开发中。它将 Android 特洛伊木马归咎于可能讲罗马尼亚语的威胁行为者,因为与早期版本相关的源代码中存在罗马尼亚语注释。
研究人员亚历山德罗·斯特里诺(Alessandro Sttrino)和西蒙·马蒂亚(Simone Mattia)说:“BingoMod属于现代RAT一代移动恶意软件,因为它的远程访问功能允许威胁行为者(TA)直接从受感染的设备进行帐户接管(ATO),从而利用设备上的欺诈(ODF)技术。
这里值得一提的是,这种技术已经在其他 Android 银行木马中观察到,例如 Medusa(又名 TangleBot)、Copybara 和 TeaBot(又名 Anatsa)。
BingoMod 与 BRATA 一样,也因采用自毁机制而脱颖而出,该机制旨在消除受感染设备上欺诈性转移的任何证据,从而阻碍取证分析。虽然此功能仅限于设备的外部存储,但怀疑远程访问功能可用于启动完全的出厂设置。
一些已识别的应用程序伪装成防病毒工具和 Google Chrome 的更新。安装后,该应用程序会提示用户授予其辅助功能服务权限,并使用它来启动恶意操作。
这包括执行主有效载荷并将用户锁定在主屏幕之外以收集设备信息,然后将这些信息泄露到攻击者控制的服务器。它还滥用辅助功能服务API来窃取屏幕上显示的敏感信息(例如,凭据和银行账户余额),并授予自己拦截SMS消息的权限。
为了直接从受感染的设备发起汇款,BingoMod 与命令和控制基础设施 (C2) 建立了基于套接字的连接,以远程接收多达 40 个命令,以使用 Android 的媒体投影 API 截取屏幕截图并与设备实时交互。
这也意味着 ODF 技术依赖于现场操作员每笔交易执行高达 15,000 欧元(~16,100 美元)的汇款,而不是利用自动转账系统 (ATS) 进行大规模金融欺诈。
另一个关键方面是威胁行为者强调使用代码混淆技术逃避检测,以及从受感染设备中卸载任意应用程序的能力,这表明恶意软件作者优先考虑简单性而不是高级功能。
“除了实时屏幕控制外,该恶意软件还通过覆盖攻击和虚假通知显示网络钓鱼功能,”研究人员说。“不寻常的是,覆盖攻击不是在打开特定目标应用程序时触发的,而是由恶意软件操作员直接发起的。”