Pesquisadores de segurança cibernética descobriram um novo trojan de acesso remoto (RAT) para Android chamado BingoMod que não apenas realiza transferências fraudulentas de dinheiro dos dispositivos comprometidos, mas também os apaga na tentativa de apagar rastros do malware.
A empresa italiana de segurança cibernética Cleafy, que descobriu o RAT no closing de maio de 2024, disse que o malware está em desenvolvimento ativo. Ela atribuiu o trojan Android a um provável ator de ameaça de língua romena devido à presença de comentários em romeno no código-fonte associado às primeiras versões.
“O BingoMod pertence à geração RAT moderna de malware móvel, pois seus recursos de acesso remoto permitem que agentes de ameaças (TAs) realizem a tomada de conta (ATO) diretamente do dispositivo infectado, explorando assim a técnica de fraude no dispositivo (ODF)”, disseram os pesquisadores Alessandro Strino e Simone Mattia.
Vale a pena mencionar aqui que essa técnica foi observada em outros trojans bancários para Android, como Medusa (também conhecido como TangleBot), Copybara e TeaBot (também conhecido como Anatsa).
O BingoMod, assim como o BRATA, também se destaca por empregar um mecanismo de autodestruição que é projetado para remover qualquer evidência de transferência fraudulenta no dispositivo infectado, de modo a dificultar a análise forense. Embora essa funcionalidade seja limitada ao armazenamento externo do dispositivo, suspeita-se que os recursos de acesso remoto possam ser usados para iniciar uma redefinição de fábrica completa.
Alguns dos aplicativos identificados se disfarçam como ferramentas antivírus e uma atualização para o Google Chrome. Uma vez instalado, o aplicativo solicita que o usuário conceda a ele permissões de serviços de acessibilidade, usando-o para iniciar ações maliciosas.
Isso inclui executar a carga principal e bloquear o usuário da tela principal para coletar informações do dispositivo, que são então exfiltradas para um servidor controlado pelo invasor. Ele também abusa da API de serviços de acessibilidade para roubar informações confidenciais exibidas na tela (por exemplo, credenciais e saldos de contas bancárias) e dar a si mesmo permissão para interceptar mensagens SMS.
Para iniciar transferências de dinheiro diretamente de dispositivos comprometidos, o BingoMod estabelece uma conexão baseada em soquete com a infraestrutura de comando e controle (C2) para receber até 40 comandos remotamente para fazer capturas de tela usando a API de projeção de mídia do Android e interagir com o dispositivo em tempo actual.
Isso também significa que a técnica ODF depende de um operador ao vivo para realizar uma transferência de dinheiro de até € 15.000 (~US$ 16.100) por transação, em vez de utilizar um Sistema de Transferência Automatizada (ATS) para realizar fraudes financeiras em grande escala.
Outro aspecto essential é a ênfase do agente da ameaça em evitar a detecção usando técnicas de ofuscação de código e a capacidade de desinstalar aplicativos arbitrários do dispositivo comprometido, indicando que os autores do malware estão priorizando a simplicidade em vez de recursos avançados.
“Além do controle de tela em tempo actual, o malware mostra capacidades de phishing por meio de Overlay Assaults e notificações falsas”, disseram os pesquisadores. “Excepcionalmente, os ataques de overlay não são acionados quando aplicativos de destino específicos são abertos, mas são iniciados diretamente pelo operador do malware.”
