BingoMod Android RAT mencuri uang dari rekening bank korban dan menghapus data
01 Agustus 2024BingoMod adalah malware Android baru yang dapat menghapus perangkat setelah mencuri uang dari rekening bank korban.
Peneliti di Cleafy menemukan malware Android baru, yang disebut 'BingoMod,' yang dapat menghapus perangkat setelah berhasil mencuri uang dari rekening bank korban.
Tim Cleafy TIR menemukan malware yang sebelumnya tidak terdeteksi pada akhir Mei 2024. BingoMod dirancang untuk memulai transfer uang dari perangkat yang disusupi melalui Account Takeover (ATO) menggunakan teknik yang dikenal luas, yang disebut On Device Fraud (ODF). Malware tersebut dapat melewati proses verifikasi identitas dan autentikasi pengguna bank, dan juga menghindari teknik deteksi perilaku yang diterapkan oleh bank untuk mengidentifikasi transfer uang yang mencurigakan.
Setelah dipasang di perangkat korban, BingoMod memanfaatkan berbagai izin, termasuk Layanan Aksesibilitasuntuk diam-diam mencuri informasi sensitif, termasuk kredensial, pesan SMS, dan saldo rekening giro saat ini.
Kode berbahaya tersebut juga dapat melakukan serangan overlay dan mengandalkan fungsionalitas seperti VNC untuk mengakses perangkat yang disusupi dari jarak jauh. Para peneliti memperhatikan bahwa malware tersebut biasanya menghapus perangkat yang terinfeksi setelah transfer penipuan berhasil, dalam upaya untuk menghalangi investigasi forensik.
Cleafy mengamati BingoMod menargetkan perangkat yang menggunakan bahasa Inggris, Rumania, dan Italia, namun komentar dalam kode malware menunjukkan pembuatnya mungkin orang Rumania.
Malware tersebut berada dalam tahap pengembangan, para peneliti melaporkan bahwa pembuatnya sedang menguji teknik pengaburan untuk menghindari deteksi.
“BingoMod termasuk dalam generasi malware seluler RAT modern, karena kemampuan akses jarak jauhnya memungkinkan Threat Actors (TA) untuk melakukan Pengambilalihan Akun (ATO) langsung dari perangkat yang terinfeksi, sehingga mengeksploitasi Penipuan pada Perangkat (ODF). Konsolidasi teknik ini telah terlihat baru-baru ini oleh trojan perbankan lainnya, seperti Ubur-uburBahasa Indonesia: Salinan BaraDan Botol Teh.” demikian bunyi tulisan laporan dipublikasikan oleh Cleafy. “Teknik-teknik ini memiliki beberapa keuntungan: memerlukan pengembang yang kurang terampil, memperluas basis target malware ke bank mana pun, dan melewati berbagai tindakan pencegahan deteksi perilaku yang diterapkan oleh banyak bank dan layanan keuangan.”
Semua sampel yang dianalisis oleh para peneliti disamarkan sebagai aplikasi keamanan seluler sah yang didistribusikan melalui menghancurkan.
Setelah diinstal, BingoMod meminta pengguna untuk mengaktifkan Layanan Aksesibilitas dengan kedok fungsionalitas aplikasi yang diperlukan. Kemudian aplikasi membongkar dan menjalankan muatan jahatnya, sebelum mengunci pengguna dari layar utama untuk mengumpulkan informasi perangkat dan membuat saluran komunikasi C2.
Setelah diaktifkan, malware BingoMod menggunakan keylogging dan intersepsi SMS untuk mencuri informasi sensitif seperti kredensial login dan nomor autentikasi transaksi. Malware ini mendukung sekitar 40 fungsi kendali jarak jauh, termasuk pemantauan layar secara real-time melalui tangkapan layar biasa dan kendali penuh perangkat melalui Layanan Aksesibilitas, yang memungkinkan penyerang mengoperasikan perangkat seolah-olah mereka hadir secara fisik.
Malware melakukan penipuan pada perangkat (ODF) dengan membuat saluran berbasis soket untuk menerima perintah dan saluran berbasis HTTP untuk mengirim umpan tangkapan layar.
“Di sisi malware, rutinitas VNC menyalahgunakan Media Projection API Android untuk memperoleh konten layar secara real-time. Setelah diterima, konten tersebut diubah menjadi format yang sesuai dan dikirimkan melalui HTTP ke infrastruktur TA.” lanjut laporan tersebut. “Fitur menarik dari rutinitas tersebut adalah memanfaatkan Layanan Aksesibilitas untuk menyamar sebagai pengguna dan mengaktifkan permintaan penayangan layar, yang diekspos oleh Media Projection API.”
BingoMod juga dapat menonaktifkan solusi keamanan atau memblokir aplikasi tertentu. Malware tersebut menggunakan teknik perataan kode dan pengaburan string untuk menghindari deteksi.
“BingoMod menunjukkan fungsionalitas yang relatif mudah yang umum ditemukan di sebagian besar RAT kontemporer, seperti HiddenVNC untuk kendali jarak jauh dan penekanan SMS untuk mencegat dan memanipulasi komunikasi dan pencatatan interaksi pengguna untuk mencuri data sensitif. Penekanan pada teknik pengaburan dan pembongkaran menunjukkan bahwa pengembang mungkin kurang memiliki kecanggihan atau pengalaman dari pembuat malware yang lebih canggih.” demikian simpulan laporan tersebut. “Salah satu aspek penting dari malware ini adalah kemampuannya menghapus perangkat, yang dipicu setelah transaksi penipuan. Perilaku ini mengingatkan pada malware Brata, yang juga menggunakan penghapusan perangkat untuk menutupi jejaknya dan menghalangi analisis forensik.”
Ikuti saya di Twitter: @urusankeamanan Dan Indonesia Dan Ikan Mas
(Keamanan – peretasan, perangkat lunak jahat)
