Продвинутый обход защиты и самоуничтожение улик открывают новую эру цифрового мошенничества.
Исследователи кибербезопасности из итальянской компании Cleafy недавно обнаружили новый троян удалённого доступа (RAT) для Android под названием BingoMod, который не только выполняет мошеннические переводы денег с заражённых устройств, но и стирает все следы своей активности, окончательно сбивая с толку своих жертв.
Вредонос был обнаружен в конце мая этого года и, судя по всему, находится в стадии активной разработки. Cleafy связывает BingoMod с румыноязычными преступниками из-за наличия комментариев на румынском в исходном коде. Кроме того, первые загрузки вредоноса на VirusTotal также были выполнены из Румынии. Вполне возможно, хакеры собственноручно проверяли, насколько невидимо для систем безопасности их зловредное творение.
Исследователи Алессандро Стрино и Симоне Маттиа отмечают, что BingoMod относится к современному поколению мобильных троянов, способных проводить захват аккаунтов (Account Takeover, ATO) прямо с заражённого устройства, используя технику мошенничества на устройстве (On-Device Fraud, ODF). Эта техника также применялась в других банковских троянах для Android, включая Medusa, Copybara и TeaBot.
Особенность BingoMod, как и у вредоносной программы Brata, заключается в механизме самоуничтожения, предназначенном для удаления доказательств мошеннических действий на заражённом устройстве, что затрудняет проведение судебной экспертизы. Хотя эта функция ограничивается внешним хранилищем устройства, исследователи подозревают, что возможности удалённого доступа могут быть использованы для полного сброса устройства до заводских настроек.
Некоторые из обнаруженных приложений, распространяющих BingoMod, маскируются под антивирусные программы и обновления для Google Chrome. После установки приложение запрашивает разрешение на доступ к службам специальных возможностей Android, используя их для выполнения вредоносных действий.
Перечень действий включает в себя выполнение основного вредоносного кода и блокировку пользователя от основного экрана для сбора информации об устройстве, которая затем отправляется на сервер, контролируемый злоумышленником.
Программа также использует API служб специальных возможностей для кражи конфиденциальной информации, отображаемой на экране (например, учётных данных и балансов банковских счетов), а также для получения разрешения на перехват SMS-сообщений.
Для инициации денежных переводов напрямую с заражённых устройств BingoMod устанавливает соединение с командным сервером для получения до 40 команд удалённо, делая скриншоты с помощью Media Projection API и взаимодействуя с устройством в режиме реального времени. Эта техника позволяет живому оператору совершать денежные переводы до €15 000 за одну транзакцию.
Кроме того, киберпреступники уделяют внимание обходу обнаружения с помощью методов обфускации кода и возможности удаления произвольных приложений с заражённого устройства.
BingoMod также обладает фишинговыми возможностями через атаки наложения и поддельные уведомления, что весьма необычно, так как атаки накладываются не при открытии целевых приложений, а инициируются непосредственно оператором вредоносного ПО.
Появление таких сложных вредоносных программ, как BingoMod, подчёркивает необходимость усиления мер кибербезопасности на личных устройствах. Для защиты от подобных угроз рекомендуется:
Помните, что бдительность и здоровый скептицизм — ключевые элементы вашей цифровой безопасности.
Сбалансированная диета для серого вещества