Cheval de Troie bancaire BingoMod
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance (RAT) Android nommé BingoMod. Ce malware facilite les transferts d’argent frauduleux depuis des appareils infectés et les efface pour éliminer les traces de sa présence.
Découvert fin mai 2024, BingoMod serait activement en développement. Le cheval de Troie est probablement lié à un acteur malveillant parlant roumain, car les premières versions du code source contiennent des commentaires écrits en roumain.
Table des matières
Les capacités menaçantes du BingoMod RAT
BingoMod fait partie de la dernière génération de chevaux de Troie d'accès à distance (RAT) mobiles. Ses capacités avancées d'accès à distance permettent aux acteurs malveillants d'effectuer des piratages de comptes (ATO) directement à partir d'appareils infectés, en utilisant une technique de fraude sur appareil (ODF).
Cette méthode a également été observée dans d'autres chevaux de Troie bancaires Android, tels que Medusa (également connu sous le nom de TangleBot), Copybara et TeaBot (également connu sous le nom d'Anatsa).
Semblable à BRATA , BingoMod dispose d'un mécanisme d'autodestruction conçu pour effacer les preuves de transferts frauduleux de l'appareil infecté, compliquant ainsi l'analyse médico-légale. Bien que cette fonction n'affecte actuellement que le stockage externe de l'appareil, on soupçonne que les capacités d'accès à distance pourraient être utilisées pour lancer une réinitialisation complète des paramètres d'usine.
BingoMod pénètre dans les téléphones des gens sous le couvert d’applications apparemment utiles
Certaines des applications découvertes se font passer pour des outils de sécurité ou des mises à jour de Google Chrome. Après avoir été installée via des tactiques de smishing, l'application demande à l'utilisateur les autorisations des services d'accessibilité, qu'elle utilise ensuite pour effectuer des activités nuisibles.
Ces activités incluent le déploiement de la charge utile principale, le verrouillage de l'utilisateur hors de l'écran principal pour collecter des informations sur l'appareil et l'exfiltration de ces données vers un serveur contrôlé par l'attaquant. De plus, l'application exploite l'API des services d'accessibilité pour récolter des informations sensibles affichées à l'écran, telles que les informations d'identification et les soldes des comptes bancaires. Il s'autorise à intercepter les messages SMS.
Les acteurs de la menace exploitent directement le BingoMod RAT
Pour effectuer des transferts d'argent directement à partir d'appareils compromis, BingoMod établit une connexion basée sur socket avec son infrastructure de commande et de contrôle (C2). Cela lui permet de recevoir jusqu'à 40 commandes à distance, notamment la prise de captures d'écran via l'API Media Projection d'Android et l'interaction avec l'appareil en temps réel.
La technique de fraude sur appareil (ODF) utilisée par BingoMod nécessite qu'un opérateur réel traite manuellement des transferts d'argent allant jusqu'à 15 000 € (~ 16 100 $) par transaction plutôt que d'utiliser un système de transfert automatisé (ATS) pour une fraude financière à grande échelle.
De plus, le logiciel malveillant utilise des techniques d'obscurcissement du code et peut désinstaller des applications arbitraires de l'appareil compromis, ce qui suggère que les auteurs donnent la priorité à l'évasion de la détection et à la simplicité plutôt qu'aux fonctionnalités avancées.
Au-delà du contrôle d'écran en temps réel, BingoMod dispose également de capacités de phishing via des attaques superposées et de fausses notifications. Contrairement aux attaques de superposition typiques qui sont déclenchées lorsque des applications cibles spécifiques sont ouvertes, BingoMod lance ces attaques directement via l'opérateur du logiciel malveillant.
