Investigadores de ciberseguridad han descubierto un nuevo troyano de acceso remoto (RAT) para Android llamado BingoMod que no solo realiza transferencias de dinero fraudulentas desde los dispositivos afectados, sino que también los borra en un intento de borrar los rastros del malware.
La empresa italiana de ciberseguridad Cleafy, que descubrió el RAT hacia fines de mayo de 2024, dijo que el malware está en desarrollo activo. Atribuyó el troyano para Android a un posible actor de amenazas de habla rumana debido a la presencia de comentarios en idioma rumano en el código fuente asociado con las primeras versiones.
Vale la pena mencionar aquí que esta técnica se ha observado en otros troyanos bancarios de Android, como Medusa (también conocido como TangleBot), Copybara y TeaBot (también conocido como Anatsa).
BingoMod, al igual que BRATA, también se destaca por emplear un mecanismo de autodestrucción que está diseñado para eliminar cualquier evidencia de la transferencia fraudulenta en el dispositivo infectado para dificultar el análisis forense. Si bien esta funcionalidad se limita al almacenamiento externo del dispositivo, se sospecha que las funciones de acceso remoto podrían usarse para iniciar un restablecimiento completo de fábrica.
Algunas de las aplicaciones identificadas se hacen pasar por herramientas antivirus y una actualización para Google Chrome. Una vez instalada, la aplicación solicita al usuario que le conceda permisos de servicios de accesibilidad, y los utiliza para iniciar acciones maliciosas.
Esto incluye ejecutar la carga útil principal y bloquear al usuario de la pantalla principal para recopilar información del dispositivo, que luego se filtra a un servidor controlado por el atacante. También abusa de la API de servicios de accesibilidad para robar información confidencial que se muestra en la pantalla (por ejemplo, credenciales y saldos de cuentas bancarias) y darse permiso para interceptar mensajes SMS.
Para iniciar transferencias de dinero directamente desde dispositivos comprometidos, BingoMod establece una conexión basada en sockets con la infraestructura de comando y control (C2) para recibir hasta 40 comandos de forma remota para tomar capturas de pantalla utilizando la API de proyección de medios de Android e interactuar con el dispositivo en tiempo real.
Esto también significa que la técnica ODF depende de un operador en vivo para realizar una transferencia de dinero de hasta 15 000 € (~ 16 100 USD) por transacción, en lugar de aprovechar un sistema de transferencia automática (ATS) para llevar a cabo fraude financiero a gran escala.
Otro aspecto crucial es el énfasis del actor de la amenaza en evadir la detección mediante técnicas de ofuscación de código y la capacidad de desinstalar aplicaciones arbitrarias del dispositivo comprometido, lo que indica que los autores del malware están priorizando la simplicidad sobre las funciones avanzadas.
Info – Ciberseguridad Latam