Cleafy Descoperă BingoMod, un Nou Malware Android Capabil de Fraude Bancare Directe
La sfârșitul lunii mai 2024, echipa Cleafy TIR (Threat Intelligence and Incident Response) a descoperit și analizat BingoMod, un nou malware de tip RAT (Remote Access Trojan) care țintește dispozitivele Android. Acest malware se remarcă prin capacitatea sa de a iniția transferuri bancare frauduloase direct de pe dispozitivele compromise, folosind o tehnică sofisticată numită On Device Fraud (ODF).
Cleafy, o companie italiană fondată în 2014, este specializată în gestionarea și prevenirea fraudei online. Compania oferă soluții avansate de detectare și răspuns în timp real pentru a proteja băncile globale și furnizorii de plăți online. Cleafy monitorizează activitățile utilizatorilor printr-o platformă centralizată, identificând și stopând fraudele la sursă.
BingoMod este distribuit prin mesaje de tip smishing, care păcălesc utilizatorii să descarce și să instaleze o aplicație rău intenționată, de obicei prezentată sub forma unui antivirus. După instalare, aplicația solicită utilizatorilor să activeze Serviciile de Accesibilitate, pretinzând că acestea sunt necesare pentru funcționarea corectă a aplicației.
Procesul de infectare:
Descărcare și Instalare: Utilizatorii sunt păcăliți să descarce aplicația prin mesaje de tip smishing.
Solicitarea Permisiunilor: Aplicația solicită activarea Serviciilor de Accesibilitate.
Dezarhivarea și Rularea Codului Malefic: Odată ce permisiunile sunt acordate, APK-ul se dezarhivează și începe să ruleze codul periculos.
Blocarea Ecranului Principal: Aplicația blochează ecranul principal pentru a colecta informații despre dispozitiv și a seta canalul de comunicație C2 (Command and Control).
Comunicarea cu Atacatorii: Prin canalul C2, atacatorii pot trimite comenzi și primi date de la dispozitivul infectat.
BingoMod permite atacuri de tip overlay și accesarea dispozitivelor compromise folosind funcționalități similare cu cele oferite de VNC (Virtual Network Computing). Aceasta înseamnă că atacatorii pot controla dispozitivul infectat de la distanță, realizând diverse operațiuni fără cunoștința utilizatorului.