BingoMod RAT IOCs

remote access Trojan IOC

В конце мая 2024 года команда Cleafy TIR обнаружила и проанализировала новый Android RAT, который был назван BingoMod. Основная цель этой вредоносной программы - проведение денежных переводов со взломанных устройств через захват счета (ATO) с использованием методики On Device Fraud (ODF), которая помогает обойти банковские контрмеры для проверки и аутентификации пользователей. Вредоносная программа использует разрешения, включая Accessibility Services, для кражи конфиденциальной информации и проведения оверлейных атак на устройства. После успешного мошеннического перевода BingoMod уничтожает все следы деятельности на устройстве.

BingoMod

Выявлено, что BingoMod находится на стадии разработки, и разработчики экспериментируют с методами обфускации, чтобы уменьшить обнаружимость программы антивирусными решениями. Также стоит отметить, что разработчики могут быть носителями румынского языка на основе комментариев, найденных в коде вредоносной программы.

BingoMod относится к современному поколению мобильных вредоносных программ RAT и имеет схожую модель работы с программой Brata, в которой используется стирание устройства после мошеннического перевода. Это ers ers позволяет избежать криминалистического анализа и затрудняет идентификацию программы и привлечение ее разработчиков к ответственности.

На данный момент BingoMod находится на ранней стадии разработки, и его дальнейшее развитие непредсказуемо. Разработчики программы используют методы обфускации и стремятся к более оппортунистическому подходу, не усложняя функциональность программы. Важно отметить, что данная вредоносная программа представляет опасность для розничных банковских услуг, а целевыми странами являются ИТ-территории.

Исследователи рекомендуют быть осторожными и предпринять меры безопасности для защиты от BingoMod, так как он маскируется под легитимные инструменты безопасности для устройств. Также следует быть внимательными при предоставлении разрешений при установке приложений, особенно в случае использования Accessibility Services.

Indicators of Compromise

IPv4

  • 101.99.92.10
  • 103.155.92.11

MD5

  • 03b486cc13618d806a79d794ba138b43
  • 08878948f69846d2217290614b70c151
  • 1e850e735c649b1f80ba36c7b07a198a
  • 2788e87b8760ebdec67bce21899893d2
  • 3534af6660e5ac844167fc3eef00bcc5
  • 38dc0f70fa3c76b28ba5ad06d84a3e08
  • 3f6dfc31e152d39d52388ec7673f64d5
  • 41d1d5e16df294a24e36fd735076ef93
  • 516ab57114f204eb24e690f56b9699c1
  • 5bf85b009e29f0af6218991942f32329
  • 60d2350b8f5bd08e05612ed8c894af20
  • 7574c1cc849108f911652571a73e2447
  • 75bee41937b00ab466d31bd9e7193b02
  • 802624f4d0169e949bf40b613824d967
  • 8b173081ea73ee0ed223d5703bb5fcd1
  • a29c774dc6dc5f29d603f1b52fcdf241
  • b4156ef9761f51dbac2d1104946dd3a8
  • bb8a2e045fdc2017b2171ff57286b05c
  • bd1f1a2e8ff984ce6d795d025bbccdb1
  • bdbec1c7c816b61b4ef9c76804d18f47
  • e9a58a77a042986ea5fdfdc6b2a396c0
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий