BingoMod Android RAT roba dinero de las cuentas bancarias de las víctimas y borra datos
1 de agosto de 2024BingoMod es un nuevo malware para Android que puede borrar dispositivos después de robar dinero de las cuentas bancarias de las víctimas.
Los investigadores de Cleafy descubrieron un nuevo malware para Android, llamado 'BingoMod', que puede borrar dispositivos después de robar con éxito dinero de las cuentas bancarias de las víctimas.
El equipo de Cleafy TIR descubrió el malware no detectado anteriormente a fines de mayo de 2024. BingoMod fue diseñado para iniciar transferencias de dinero desde los dispositivos comprometidos a través de Account Takeover (ATO) utilizando una técnica conocida, llamada On Device Fraud (ODF). El malware puede eludir los procesos de verificación y autenticación de identidad de los usuarios bancarios y también evita las técnicas de detección de comportamiento que aplican los bancos para identificar transferencias de dinero sospechosas.
Una vez instalado en el dispositivo de la víctima, BingoMod aprovecha varios permisos, incluidos Servicios de accesibilidadpara robar silenciosamente información confidencial, incluidas credenciales, mensajes SMS y saldos de cuentas corrientes.
El código malicioso también puede realizar ataques superpuestos y se basa en una funcionalidad similar a la de VNC para acceder de forma remota al dispositivo afectado. Los investigadores observaron que el malware suele borrar los dispositivos infectados después de una transferencia fraudulenta exitosa, en un intento de obstaculizar las investigaciones forenses.
Cleafy observó que BingoMod apuntaba a dispositivos que usaban los idiomas inglés, rumano e italiano, sin embargo los comentarios en el código del malware sugieren que los autores pueden ser rumanos.
El malware se encuentra en fase de desarrollo y los investigadores informaron que los autores están probando técnicas de ofuscación para evitar su detección.
“Modificador de bingo pertenece a la generación moderna de RAT de malware móvil, ya que sus capacidades de acceso remoto permiten a los actores de amenazas (TA) realizar Toma de control de cuenta (ATO) directamente desde el dispositivo infectado, explotando así la Fraude en dispositivos (ODF). Esta consolidación de esta técnica ya la han visto recientemente otros troyanos bancarios, como Medusa, Copiary Tetera.”, se lee en el informe publicado por Cleafy. “Estas técnicas tienen varias ventajas: requieren desarrolladores menos capacitados, amplían la base de objetivos del malware a cualquier banco y evitan varias contramedidas de detección de comportamiento implementadas por múltiples bancos y servicios financieros”.
Todas las muestras analizadas por los investigadores están camufladas como aplicaciones legítimas de seguridad móvil que se distribuyen a través de imponente.
Después de la instalación, BingoMod solicita a los usuarios que activen los Servicios de accesibilidad bajo la apariencia de una funcionalidad necesaria de la aplicación. Luego, la aplicación descomprime y ejecuta su carga maliciosa, antes de bloquear al usuario y sacarlo de la pantalla principal para recopilar información del dispositivo y establecer un canal de comunicación C2.
Una vez activado, el malware BingoMod utiliza el registro de pulsaciones de teclas y la interceptación de SMS para robar información confidencial, como credenciales de inicio de sesión y números de autenticación de transacciones. El malware admite alrededor de 40 funciones de control remoto, incluida la supervisión de la pantalla en tiempo real mediante capturas de pantalla periódicas y el control total del dispositivo a través de los Servicios de accesibilidad, lo que permite a los atacantes operar el dispositivo como si estuvieran físicamente presentes.
El malware realiza fraude en el dispositivo (ODF) estableciendo un canal basado en socket para recibir comandos y un canal basado en HTTP para enviar una serie de capturas de pantalla.
“En cuanto al malware, la rutina VNC abusa de la API Media Projection de Android para obtener contenido de pantalla en tiempo real. Una vez recibido, lo transforma a un formato adecuado y lo transmite a través de HTTP a la infraestructura de los asistentes de tecnología”, continúa el informe. “Una característica interesante de la rutina es que aprovecha los servicios de accesibilidad para hacerse pasar por el usuario y habilitar la solicitud de proyección de pantalla, expuesta por la API Media Projection”.
BingoMod también puede desactivar soluciones de seguridad o bloquear aplicaciones específicas. El malware utiliza técnicas de aplanamiento de código y ofuscación de cadenas para evitar su detección.
“BingoMod muestra funcionalidades relativamente sencillas que se encuentran comúnmente en la mayoría de los RAT contemporáneos, como HiddenVNC para el control remoto y la supresión de SMS para interceptar y manipular la comunicación y el registro de las interacciones del usuario para robar datos confidenciales. El énfasis en las técnicas de ofuscación y descompresión sugiere que los desarrolladores pueden carecer de la sofisticación o la experiencia de los autores de malware más avanzados”, concluye el informe. “Un aspecto notable de este malware es su capacidad de borrar el dispositivo, que se activa después de una transacción fraudulenta. Este comportamiento recuerda al malware Brata, que también empleaba el borrado del dispositivo para ocultar sus huellas y dificultar el análisis forense”.
Sigueme en Twitter: @asuntosdeseguridad y Facebook y Mastodonte
(Asuntos de seguridad – piratería, malware)
