[IT] BingoMod, un malware de Android care fură bani și șterge datele, vizează utilizatorii români

[Dexter. @ GOV.RO]

Este distribuit prin mesaje de tip smishing, care păcălesc utilizatorii să descarce și să instaleze aplicația

 

____

 

     La sfârșitul lunii mai 2024, echipa Cleafy TIR (Threat Intelligence and Incident Response) a descoperit și analizat BingoMod, un nou malware Android de tip RAT (Remote Access Trojan). Acest malware se remarcă prin abilitatea de a iniția transferuri bancare frauduloase direct de pe dispozitivele compromise, folosind tehnica de fraudă On Device Fraud (ODF). Cleafy este o companie italiană, fondată în 2014, specializată în gestionarea și prevenirea fraudei online, oferind soluții avansate de detectare și răspuns în timp real. Compania protejează băncile globale și furnizorii de plăți online, monitorizând activitățile utilizatorilor pentru a identifica și stopa fraudele printr-o platformă centralizată.

M-a dus cu gândul la CrowdStrike, dar e altceva. Deși ambele companii operează în domeniul securității cibernetice, Cleafy se concentrează mai mult pe prevenirea fraudei online și protejarea tranzacțiilor financiare, în timp ce CrowdStrike se concentrează pe securitatea endpoint și protecția împotriva atacurilor cibernetice sofisticate.

În timpul investigației, s-au observat următoarele legături cu România:

   BingoMod vizează dispozitivele în trei limbi: engleză, română și italiană.

   Analiza tehnică a relevat elemente de cod și structuri care ar putea fi caracteristice dezvoltatorilor din România. Comentariile din cod sugerează că dezvoltatorii ar putea fi vorbitori de limbă română

    Versiunea 1.4.3b a malware-ului BingoMod a fost încărcată recent pe VirusTotal de la o adresă IP localizată în regiunea României.

 

Să ne pară rău sau să ne simțim flatați că hackerii români sunt celebri? Nu știm nici măcar dacă sunt români. Să trecem mai departe.

Cum funcționează BingoMod

BingoMod este distribuit prin mesaje de tip smishing, care păcălesc utilizatorii să descarce și să instaleze aplicația rău intenționată, de obicei prezentată ca un antivirus. După instalare, aplicația solicită utilizatorilor să activeze Serviciile de Accesibilitate, pretextând că sunt necesare pentru funcționarea corectă.

Odată ce permisiunile sunt acordate, APK-ul se dezarhivează și începe să ruleze codul periculos. Aplicația blochează ecranul principal pentru a colecta informații despre dispozitiv și pentru a seta canalul de comunicație C2. Prin acesta, atacatorii pot trimite comenzi și primi date de la dispozitivul infectat.

BingoMod permite atacuri de tip overlay și accesarea dispozitivelor compromise folosind funcționalități similare VNC (Virtual Network Computing).

 

În timpul analizei, s-a observat că BingoMod este încă în faza de dezvoltare, dezvoltatorii experimentând tehnici de obfuscation (ascunde sau a face dificil de înțeles codul sursă al unui program malware) pentru a scădea rata de detectare a soluțiilor antivirus.

BingoMod reprezintă o amenințare pentru băncile și utilizatorii de Android, din cauza tehnicilor sale avansate de fraudă. Sper să nu vă întâlniți cu el, oricum mai multă atenție la aplicațiile pe care le descărcați și instalați pe telefon!

 

 

sursă: Click