BingoMod Android RAT 从受害者的银行账户中窃取资金并擦除数据

Cleafy 的研究人员发现了一种新的 Android 恶意软件，名为“BingoMod”，它在成功从受害者的银行账户中窃取资金后能够清除设备数据。

Cleafy 的威胁情报响应（TIR）团队在 2024 年 5 月底发现了这款之前未被检测到的恶意软件。BingoMod 被设计用于通过账户接管（ATO）的方式，利用一种名为设备欺诈（ODF）的知名技术，从受感染的设备发起资金转账。该恶意软件能够绕过银行用户的身份验证流程，并规避银行用于识别可疑资金转账的行为检测技术。

一旦在受害者的设备上安装，BingoMod 就会利用各种权限（包括无障碍服务）来悄悄窃取敏感信息，包括凭证、短信和当前账户余额。

恶意代码还可以执行覆盖攻击，并依赖类似 VNC 的功能来远程访问受感染的设备。研究人员注意到，该恶意软件通常在成功进行欺诈性转账后清除受感染的设备，以阻碍取证调查。

Cleafy 观察到 BingoMod 瞄准使用英语、罗马尼亚语和意大利语的设备，但恶意软件代码中的注释表明作者可能是罗马尼亚人。

研究人员报告称，该恶意软件目前仍处于开发阶段，作者正在测试混淆技术以避免被检测。

“BingoMod 属于现代远程访问木马（RAT）一代的移动恶意软件，因为其远程访问能力允许威胁行为者（TAs）直接从受感染的设备上进行账户接管（ATO），从而利用设备欺诈（ODF）技术。最近，其他银行木马如 Medusa、Copybara 和 Teabot 也已采用这种技术。”Cleafy 发布的报告中写道。“这些技术具有几个优势：它们需要较少技能的开发者，将恶意软件的目标基础扩展到任何银行，并绕过多家银行和金融服务机构实施的各种行为检测对策。”

研究人员分析的所有样本都伪装成合法的移动安全应用程序，并通过诱骗手段进行分发。

安装后，BingoMod 在用户不知情的情况下提示他们激活无障碍服务，伪装成必要的应用程序功能。然后，该应用程序解包并执行其恶意有效载荷，同时阻止用户访问主屏幕以收集设备信息并建立 C2 通信通道。

一旦激活，BingoMod 恶意软件使用键盘记录和短信拦截来窃取敏感信息，如登录凭证和交易验证码。该恶意软件支持约 40 个远程控制功能，包括通过定期截图进行实时屏幕监控和通过无障碍服务进行完整设备控制，从而使攻击者能够像亲自操作一样控制设备。

该恶意软件通过建立基于套接字的通道来接收命令，并通过基于 HTTP 的通道发送屏幕截图流，从而在设备上执行欺诈（ODF）。

“在恶意软件方面，VNC 例程滥用 Android 的 Media Projection API 来获取实时屏幕内容。一旦接收到这些内容，它们将被转换为合适的格式，并通过 HTTP 传输到威胁行为者（TAs）的基础设施。”报告继续道。“该例程的一个令人兴奋的功能是利用无障碍服务来冒充用户并启用由 Media Projection API 公开的屏幕投射请求。”

BingoMod 还可以禁用安全解决方案或阻止特定应用程序。该恶意软件使用代码扁平化和字符串混淆技术来避免被检测。“BingoMod 展示了大多数当代远程访问木马（RAT）中常见的相对简单的功能，如用于远程控制的 HiddenVNC、用于拦截和操纵通信的短信抑制功能，以及记录用户交互以窃取敏感数据的日志记录功能。对混淆和解包技术的强调表明，开发人员可能缺乏更高级恶意软件作者所拥有的复杂性或经验。”报告总结道。“这款恶意软件的一个显著特点是其设备清除能力，该能力在欺诈交易后被触发。这种行为让人想起 Brata 恶意软件，后者也采用设备清除来掩盖其踪迹并阻碍取证分析。”

原文始发于微信公众号（黑猫安全）：BingoMod Android RAT 从受害者的银行账户中窃取资金并擦除数据