Un nou malware pentru Android, numit de cercetători ‘BingoMod’, poate șterge dispozitivele după ce a reușit să fure bani din conturile bancare ale victimelor folosind tehnica de fraudă pe dispozitiv.
Promovat prin mesaje text, malware-ul se prezintă ca un instrument legitim de securitate mobilă și poate fura până la 15.000 EUR pe tranzacție.
Potrivit cercetătorilor care îl analizează, BingoMod se află în prezent în dezvoltare activă, autorul său concentrându-se pe adăugarea de cod de obfuscare și diverse mecanisme de evitare pentru a reduce rata de detectare.
Cercetătorii de la Cleafy, o soluție online de management și prevenire a fraudelor, au descoperit că BingoMod este distribuit în campanii de smishing (SMS phishing) și folosește diverse nume care indică în mod tipic un instrument de securitate mobilă (de exemplu, APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo și APKAppScudo).
Într-un caz, malware-ul folosește iconița pentru aplicația gratuită AVG AntiVirus & Security disponibilă pe Google Play.
În timpul rutinei de instalare, malware-ul solicită permisiunea de a folosi Serviciile de Accesibilitate, care oferă funcții avansate ce permit control extins al dispozitivului.
Odată activat, BingoMod fură orice date de autentificare, face capturi de ecran și interceptează mesaje SMS.
Pentru a efectua fraudă pe dispozitiv (ODF), malware-ul stabilește un canal bazat pe socket-uri pentru a primi comenzi și un canal bazat pe HTTP pentru a trimite un flux de capturi de ecran, permițând operațiuni la distanță aproape în timp real.
ODF este o tehnică comună folosită pentru a iniția tranzacții frauduloase de pe dispozitivul victimei, care păcălește sistemele standard anti-fraudă ce se bazează pe verificarea identității și autentificare.
Cercetătorii Cleafy explică într-un raport de astăzi că ‘rutina VNC abuzează de API-ul de proiecție media al Android-ului pentru a obține conținutul ecranului în timp real. Odată primit, acesta este transformat într-un format adecvat și transmis prin HTTP către infrastructura TAs’ [actorului amenințării].
Una dintre caracteristicile rutinei este că poate folosi Serviciile de Accesibilitate ‘pentru a se da drept utilizator și a permite cererea de redare a ecranului, expusă de API-ul de proiecție media.’
Comenzile pe care operatorii la distanță le pot trimite către BingoMod includ clic pe o anumită zonă, scrierea de text într-un element de intrare specificat și lansarea unei aplicații.
Malware-ul permite și atacuri de suprapunere manuală prin notificări false inițiate de actorul amenințării. În plus, un dispozitiv infectat cu BingoMod ar putea fi folosit și pentru a răspândi malware-ul și prin SMS.
BingoMod poate elimina soluțiile de securitate de pe dispozitivul victimei sau bloca activitatea aplicațiilor specificate de actorul amenințării printr-o comandă.
Pentru a evita detectarea, creatorii malware-ului au adăugat straturi de obfuscare a codului și de obfuscare a șirurilor, care, conform rezultatelor scanărilor pe VirusTotal, au atins scopul propus.
Dacă malware-ul este înregistrat pe dispozitiv ca o aplicație de administrare a dispozitivului, operatorul poate trimite o comandă la distanță pentru a șterge sistemul. Conform cercetătorilor, această funcție este executată doar după o transferare reușită și afectează doar stocarea externă.
Pentru o ștergere completă, este posibil ca actorul amenințării să folosească capacitatea de acces la distanță pentru a șterge toate datele și a reseta telefonul din setările de sistem.
Deși BingoMod se află în prezent la versiunea 1.5.1, Cleafy spune că pare să fie într-un stadiu incipient de dezvoltare.
Pe baza comentariilor din cod, cercetătorii cred că BingoMod ar putea fi opera unui dezvoltator român. Cu toate acestea, este posibil ca și dezvoltatori din alte țări să contribuie.
Rafel RAT vizează telefoane Android în atacuri ransomware
O campanie masivă de furt de mesaje SMS infectează dispozitive Android în 113 țări
Spionajul Android ‘Mandrake’ ascuns în aplicații de pe Google Play din 2022
Zero-day Telegram a permis trimiterea de APK-uri Android maligne ca videoclipuri
Telefoanele seriei Google Pixel 6 blocate după resetarea din fabrică
Leave a Reply