I ricercatori di cybersecurity hanno scoperto un nuovo trojan per Android chiamato BingoMod, un remote access trojan (RAT) che non solo esegue trasferimenti di denaro fraudolenti dai dispositivi compromessi, ma li cancella anche nel tentativo di eliminare ogni traccia del malware. La società italiana di cybersecurity Cleafy, che ha individuato il RAT verso la fine di maggio 2024, ha dichiarato che il malware è in fase di sviluppo attivo. È stato attribuito a un probabile attore di minacce di lingua rumena, a causa della presenza di commenti in lingua rumena nel codice sorgente associato alle versioni iniziali.

BingoMod e la tecnica di frode on-device (ODF)

BingoMod appartiene alla moderna generazione di RAT per malware mobile, poiché le sue capacità di accesso remoto permettono agli attori di minacce (TAs) di eseguire il takeover dell'account (ATO) direttamente dal dispositivo infetto, sfruttando così la tecnica di frode on-device (ODF). Vale la pena menzionare che questa tecnica è stata osservata anche in altri trojan bancari per Android, come Medusa, Copybara e TeaBot.

Meccanismo di autodistruzione

Come BRATA, BingoMod si distingue anche per l'impiego di un meccanismo di autodistruzione progettato per rimuovere qualsiasi evidenza del trasferimento fraudolento sul dispositivo infetto, ostacolando così l'analisi forense. Sebbene questa funzionalità sia limitata alla memoria esterna del dispositivo, si sospetta che le capacità di accesso remoto possano essere utilizzate per avviare un reset completo del dispositivo.

Mascheramento delle app

Alcune delle app identificate si mascherano da strumenti antivirus e aggiornamenti per Google Chrome. Una volta installate tramite tattiche di smishing, l'app invita l'utente a concedere permessi per i servizi di accessibilità, utilizzandoli per avviare azioni dannose. Questo include l'esecuzione del payload principale e il blocco dell'utente dalla schermata principale per raccogliere informazioni sul dispositivo, che vengono poi esfiltrate a un server controllato dall'attaccante. Sfrutta anche l'API dei servizi di accessibilità per rubare informazioni sensibili visualizzate sullo schermo, come credenziali e saldi bancari, e darsi il permesso di intercettare i messaggi SMS.

Connessione e comando remoto

Per avviare trasferimenti di denaro direttamente dai dispositivi compromessi, BingoMod stabilisce una connessione basata su socket con l'infrastruttura di comando e controllo (C2) per ricevere fino a 40 comandi da remoto per catturare schermate utilizzando l'API Media Projection di Android e interagire con il dispositivo in tempo reale. Questo significa anche che la tecnica ODF si basa su un operatore live per eseguire un trasferimento di denaro fino a 15.000 euro per transazione, invece di utilizzare un sistema di trasferimento automatico (ATS) per eseguire frodi finanziarie su larga scala.

Evita il rilevamento

Un altro aspetto cruciale è l'enfasi dell'attore di minacce sull'evitare il rilevamento utilizzando tecniche di offuscamento del codice e la capacità di disinstallare app arbitrarie dal dispositivo compromesso, indicando che gli autori del malware stanno dando priorità alla semplicità rispetto alle funzionalità avanzate. Oltre al controllo in tempo reale dello schermo, il malware mostra capacità di phishing attraverso attacchi di overlay e notifiche false. In modo insolito, gli attacchi di overlay non vengono attivati quando vengono aperte app target specifiche, ma vengono avviati direttamente dall'operatore del malware.