Alla fine dello scorso mese di maggio, il team TIR di Cleafy ha scoperto e analizzato un nuovo RAT (Remote Access Trojan) per Android, denominato BingoMod. Questo malware è progettato per rubare denaro dai conti bancari delle vittime e cancellare i dati dai dispositivi infetti.
Caratteristiche principali di BingoMod
BingoMod utilizza tecniche di frode direttamente sul dispositivo compromesso (On Device Fraud – ODF) per effettuare trasferimenti di denaro non autorizzati. Questo metodo permette di bypassare le misure di sicurezza bancarie che verificano l’identità dell’utente.
Dopo l’installazione, BingoMod sfrutta vari permessi, inclusi i servizi di accessibilità, per rubare informazioni sensibili come credenziali, messaggi SMS e saldi dei conti correnti.
Distribuito tramite smishing e in genere spacciato come app di sicurezza legittima, una volta installato, il malware può condurre attacchi overlay, accedere al dispositivo compromesso in remoto, utilizzando funzionalità VNC e dopo un trasferimento fraudolento riuscito, cancellare i dati dal dispositivo infetto per ostacolare la rilevazione.
Come spiegato nel rapporto, il malware per il controllo remoto stabilisce con il server C2 un canale basato su socket per ricevere i comandi e un canale basato su HTTP per il trasferimento di immagini screenshot in tempo reale.
Inoltre Cleafy sottolinea che gli sviluppatori di BingoMod starebbero sperimentando tecniche di offuscamento per ridurre il tasso di rilevamento da parte delle soluzioni antivirus.
Preoccupazioni
BingoMod rappresenta una minaccia significativa per gli utenti di dispositivi Android, in particolare per coloro che utilizzano servizi bancari mobili. La capacità del malware di cancellare i dati dopo aver rubato denaro rende difficile anche il recupero delle prove e la protezione contro future infezioni.
Gli utenti sono invitati a prestare attenzione alle app che installano e a mantenere aggiornati i propri dispositivi con le ultime patch di sicurezza. Inoltre, è consigliabile utilizzare soluzioni antivirus affidabili.
Da alcune evidenze i ricercatori ritengono che BingoMod possa essere legato ad uno sviluppatore rumeno, sebbene non si possa escludere anche il contributo di operatori di altri paesi.
Tra gli obiettivi figurano invece tre lingue target: inglese, rumeno e italiano.