Clicky

BingoMod, el nuevo troyano bancario para Android, roba dinero y borra dispositivos

troyano bancario  BingoMod

Pertenece a la moderna generación RAT de malware móvil

Investigadores de ciberseguridad han descubierto un nuevo troyano de acceso remoto (RAT) para Android llamado BingoMod que no solo realiza transferencias de dinero fraudulentas desde los dispositivos comprometidos, sino que también los borra en un intento de borrar los rastros del malware.

La empresa italiana de ciberseguridad Cleafy, que descubrió el RAT a fines de mayo de 2024, dijo que el malware está en desarrollo activo. Se atribuyó el troyano de Android a un actor de amenazas que probablemente hablaba rumano debido a la presencia de comentarios en idioma rumano en el código fuente asociado con las primeras versiones.

"BingoMod pertenece a la moderna generación RAT de malware móvil, ya que sus capacidades de acceso remoto permiten a los actores de amenazas (TA) realizar apropiación de cuentas (ATO) directamente desde el dispositivo infectado, explotando así la técnica de fraude en el dispositivo (ODF)", dijeron los investigadores Alessandro Strino y Simone Mattia.

Vale la pena mencionar aquí que esta técnica se ha observado en otros troyanos bancarios de Android, como Medusa (también conocido como TangleBot), Copybara y TeaBot (también conocido como Anatsa).

BingoMod, al igual que BRATA, también destaca por emplear un mecanismo de autodestrucción que está diseñado para eliminar cualquier evidencia de la transferencia fraudulenta en el dispositivo infectado para así dificultar el análisis forense. Si bien esta funcionalidad está limitada al almacenamiento externo del dispositivo, se sospecha que las funciones de acceso remoto podrían usarse para iniciar un restablecimiento completo de fábrica.

Algunas de las aplicaciones identificadas se hacen pasar por herramientas antivirus y actualizaciones de Google Chrome. Una vez instaladas mediante tácticas de smishing, la aplicación solicita al usuario que le conceda permisos de servicios de accesibilidad y la utiliza para iniciar acciones maliciosas.

Esto incluye ejecutar la carga útil principal y bloquear al usuario de la pantalla principal para recopilar información del dispositivo, que luego se filtra a un servidor controlado por el atacante. También abusa de la API de servicios de accesibilidad para robar información confidencial que se muestra en la pantalla (por ejemplo, credenciales y saldos de cuentas bancarias) y darse permiso para interceptar mensajes SMS.

servidor C2 de Bingomod

Para iniciar transferencias de dinero directamente desde dispositivos comprometidos, BingoMod establece una conexión basada en socket con la infraestructura de comando y control (C2) para recibir hasta 40 comandos de forma remota para tomar capturas de pantalla utilizando la API de proyección de medios de Android e interactuar con el dispositivo en tiempo real.

Esto también significa que la técnica ODF depende de un operador en vivo para realizar una transferencia de dinero de hasta 15.000 € (~16.100 USD) por transacción, en lugar de aprovechar un sistema de transferencia automática (ATS) para llevar a cabo fraude financiero a escala.

Otro aspecto crucial es el énfasis del actor de amenazas en evadir la detección utilizando técnicas de ofuscación de código y la capacidad de desinstalar aplicaciones arbitrarias del dispositivo comprometido, lo que indica que los autores de malware están priorizando la simplicidad sobre las funciones avanzadas.

"Además del control de pantalla en tiempo real, el malware muestra capacidades de phishing a través de ataques de superposición y notificaciones falsas", dijeron los investigadores. "Excepcionalmente, los ataques de superposición no se activan cuando se abren aplicaciones específicas, sino que son iniciados directamente por el operador del malware".

Jesus_Caceres