Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) για Android, που ονομάζεται «BingoMod».
Αυτό το κακόβουλο λογισμικό όχι μόνο πραγματοποιεί ψεύτικες μεταφορές χρημάτων από τις παραβιασμένες συσκευές, αλλά προσπαθεί επίσης να διαγράψει τα ίχνη του, σβήνοντας τα δεδομένα τους.
Η ιταλική εταιρεία κυβερνοασφάλειας Cleafy, η οποία ανακάλυψε το RAT στα τέλη Μαΐου 2024, ανέφερε ότι αυτό το κακόβουλο λογισμικό (malware) αναπτύσσεται συνεχώς και αποδίδει το Android trojan σε έναν πιθανό hacker από τη Ρουμανία, λόγω του ότι τα σχόλια στον πηγαίο κώδικα που σχετίζεται με τις αρχικές εκδόσεις, είναι γραμμένα στα ρουμάνικα.
Διαβάστε σχετικά: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
«Το BingoMod ανήκει στη σύγχρονη γενιά RAT κακόβουλου λογισμικού για Android, καθώς οι δυνατότητες απομακρυσμένης πρόσβασης επιτρέπουν στους hackers να εκτελούν εξαγορές λογαριασμού (ATO) απευθείας από τη μολυσμένη συσκευή, εκμεταλλευόμενοι την τεχνική απάτης στη συσκευή (ODF)», όπως ανέφεραν οι Alessandro Strino και Simone Mattia.
Αξιοσημείωτο είναι επίσης, ότι η τεχνική αυτή, έχει παρατηρηθεί και σε άλλα Android banking trojan, όπως το Medusa (γνωστό και ως TangleBot), το Copybara και το TeaBot (γνωστό και ως Anatsa).
Το «BingoMod», όπως και το «BRATA», διακρίνεται για τη χρήση ενός μηχανισμού αυτοκαταστροφής που έχει σχεδιαστεί για να αφαιρεί οποιαδήποτε ίχνη κακόβουλης δραστηριότητας από τη μολυσμένη συσκευή, αποτρέποντας έτσι την ανάλυσή τους. Αν και αυτή η λειτουργία περιορίζεται στον εξωτερικό χώρο αποθήκευσης της συσκευής, υπάρχει υποψία ότι οι δυνατότητες απομακρυσμένης πρόσβασης θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση πλήρους επαναφοράς εργοστασιακών ρυθμίσεων.
Ορισμένες αναγνωρισμένες εφαρμογές μεταμφιέζονται ως εργαλεία προστασίας από ιούς ή ως ενημερώσεις για το Google Chrome. Μόλις εγκατασταθούν, ζητούν από τον χρήστη να παραχωρήσει άδειες πρόσβασης στις υπηρεσίες προσβασιμότητας, τις οποίες εκμεταλλεύονται οι hackers για την εκτέλεση κακόβουλων ενεργειών.
Δείτε επίσης: Adobe: Νέες Generative AI δυνατότητες σε Illustrator και Photoshop
Αυτό περιλαμβάνει την εκτέλεση του κύριου ωφέλιμου φορτίου και την αποσύνδεση του χρήστη από την κύρια οθόνη για τη συλλογή πληροφοριών της
συσκευής, οι οποίες στη συνέχεια μεταφέρονται σε έναν server, ο οποίος ελέγχεται από τους hackers. Επιπλέον, οι hackers εκμεταλλεύονται το API υπηρεσιών προσβασιμότητας για να κλέψουν ευαίσθητες πληροφορίες που προβάλλονται στην οθόνη, όπως διαπιστευτήρια και υπόλοιπα στοιχεία τραπεζικών λογαριασμών, και αποκτά άδεια για την υποκλοπή μηνυμάτων SMS.Για να εκκινήσει τις μεταφορές χρημάτων απευθείας από παραβιασμένες συσκευές, το «BingoMod» δημιουργεί μια socket-based σύνδεση με την υποδομή εντολών και ελέγχου (C2). Με αυτό τον τρόπο, μπορεί να λαμβάνει έως και 40 απομακρυσμένες εντολές για τη λήψη στιγμιότυπων οθόνης μέσω του Media Projection API του Android, καθώς και να αλληλεπιδρά με τη συσκευή σε πραγματικό χρόνο.
Αυτό σημαίνει επίσης ότι η τεχνική ODF απαιτεί τη συμμετοχή ενός “live” χειριστή για τη μεταφορά χρημάτων έως και 15.000 € ανά συναλλαγή, σε αντίθεση με τη χρήση ενός Συστήματος Αυτοματοποιημένης Μεταφοράς (ATS), το οποίο μπορεί να επιτρέψει την οικονομική απάτη σε μεγαλύτερη κλίμακα.
Μια άλλη κρίσιμη πτυχή της δραστηριότητας των hackers, είναι η έμφαση που δίνουν στην αποφυγή ανίχνευσης, χρησιμοποιώντας code obfuscation τεχνικές, καθώς και η ικανότητα απεγκατάστασης αυθαίρετων εφαρμογών από την παραβιασμένη συσκευή. Αυτό υποδεικνύει ότι οι δημιουργοί κακόβουλου λογισμικού δίνουν προτεραιότητα στην απλότητα σε βάρος των προηγμένων λειτουργιών.
Διαβάστε επίσης: Το 9002 RAT malware στοχεύει ιταλικές εταιρείες
«Πέρα από την παρακολούθηση της οθόνης σε πραγματικό χρόνο, το κακόβουλο λογισμικό διαθέτει χαρακτηριστικά phishing μέσω Overlay επιθέσεων και ψεύτικων ειδοποιήσεων», δήλωσαν οι ερευνητές. «Συνήθως, οι Overlay επιθέσεις δεν ενεργοποιούνται κατά το άνοιγμα των εφαρμογών-στόχων, αλλά ξεκινούν κατευθείαν από τον χειριστή του κακόβουλου λογισμικού.»
Πηγή: thehackernews