В конце мая 2024 года команда Cleafy TIR обнаружила и проанализировала новый Android RAT, который был назван BingoMod. Основная цель этой вредоносной программы - проведение денежных переводов со взломанных устройств через захват счета (ATO) с использованием методики On Device Fraud (ODF), которая помогает обойти банковские контрмеры для проверки и аутентификации пользователей. Вредоносная программа использует разрешения, включая Accessibility Services, для кражи конфиденциальной информации и проведения оверлейных атак на устройства. После успешного мошеннического перевода BingoMod уничтожает все следы деятельности на устройстве.
BingoMod
Выявлено, что BingoMod находится на стадии разработки, и разработчики экспериментируют с методами обфускации, чтобы уменьшить обнаружимость программы антивирусными решениями. Также стоит отметить, что разработчики могут быть носителями румынского языка на основе комментариев, найденных в коде вредоносной программы.
BingoMod относится к современному поколению мобильных вредоносных программ RAT и имеет схожую модель работы с программой Brata, в которой используется стирание устройства после мошеннического перевода. Это ers ers позволяет избежать криминалистического анализа и затрудняет идентификацию программы и привлечение ее разработчиков к ответственности.
На данный момент BingoMod находится на ранней стадии разработки, и его дальнейшее развитие непредсказуемо. Разработчики программы используют методы обфускации и стремятся к более оппортунистическому подходу, не усложняя функциональность программы. Важно отметить, что данная вредоносная программа представляет опасность для розничных банковских услуг, а целевыми странами являются ИТ-территории.
Исследователи рекомендуют быть осторожными и предпринять меры безопасности для защиты от BingoMod, так как он маскируется под легитимные инструменты безопасности для устройств. Также следует быть внимательными при предоставлении разрешений при установке приложений, особенно в случае использования Accessibility Services.
Indicators of Compromise
IPv4
- 101.99.92.10
- 103.155.92.11
MD5
- 03b486cc13618d806a79d794ba138b43
- 08878948f69846d2217290614b70c151
- 1e850e735c649b1f80ba36c7b07a198a
- 2788e87b8760ebdec67bce21899893d2
- 3534af6660e5ac844167fc3eef00bcc5
- 38dc0f70fa3c76b28ba5ad06d84a3e08
- 3f6dfc31e152d39d52388ec7673f64d5
- 41d1d5e16df294a24e36fd735076ef93
- 516ab57114f204eb24e690f56b9699c1
- 5bf85b009e29f0af6218991942f32329
- 60d2350b8f5bd08e05612ed8c894af20
- 7574c1cc849108f911652571a73e2447
- 75bee41937b00ab466d31bd9e7193b02
- 802624f4d0169e949bf40b613824d967
- 8b173081ea73ee0ed223d5703bb5fcd1
- a29c774dc6dc5f29d603f1b52fcdf241
- b4156ef9761f51dbac2d1104946dd3a8
- bb8a2e045fdc2017b2171ff57286b05c
- bd1f1a2e8ff984ce6d795d025bbccdb1
- bdbec1c7c816b61b4ef9c76804d18f47
- e9a58a77a042986ea5fdfdc6b2a396c0