Дослідники з Cleafy Labs виявили нову версію небезпечного Android-трояна BingoMod, який перейшов на новий рівень крадіжки персональних даних і проведення банківського шахрайства.
Це шкідливе ПЗ належало до класу RAT (Remote Access Trojan) і дозволило хакерам не просто красти кошти, а й повністю захоплювати управління пристроєм жертви. На відміну від багатьох інших вірусів, BingoMod орієнтувався на методику On-Device Fraud (ODF), коли незаконні транзакції ініціювалися прямо зі смартфона користувача.
Це зробило крадіжку практично невидимою для захисних систем банків, оскільки дії виглядали як звичайна активність власника.
Поширення вірусу почалося через кампанії смішингу (SMS-фішингу), де користувачам пропонували встановити нібито корисні інструменти, такі як оновлення Google Chrome або антивіруси під назвами APP Protection або WebSecurity. Відразу після встановлення BingoMod зажадав доступ до "Спеціальних можливостей" (Accessibility Services).
Отримавши цей дозвіл, троян розпакував свій основний шкідливий модуль і встановив зв'язок з командним сервером. Через цей канал хакери змогли в реальному часі отримувати скріншоти екрана, перехоплювати SMS-повідомлення і реєструвати кожне натискання клавіш (кейлоггінг).
Особливу небезпеку в новій модифікації становив глибокий інтерес зловмисників до конфіденційної інформації в нотатках і текстових файлах.
Експерти зафіксували, що вірус цілеспрямовано шукав збережені паролі, секретні питання та Seed-фрази від криптовалютних гаманців. Завдяки функції віддаленого управління оператори вірусу змогли самостійно запускати потрібні додатки, натискати на кнопки і вводити текст, обходячи будь-які форми двофакторної автентифікації. Суми розкрадань при цьому досягали 15 тисяч євро за одну транзакцію.
У фінальній стадії атаки BingoMod застосував рідкісну для мобільних загроз тактику "випаленої землі". Після успішного виведення коштів хакери відправили команду на повне видалення даних і скидання налаштувань смартфона до заводських. Це дозволило їм не тільки приховати сліди своєї діяльності, а й максимально ускладнити роботу експертів з кібербезпеки при розслідуванні інциденту.
Хоча на поточному етапі вірус ще активно розроблявся, фахівці відзначили швидке впровадження механізмів обфускації, які дозволили BingoMod обходити виявлення більшістю стандартних антивірусних програм.
Аналіз коду показав, що за розробкою, ймовірно, стояли румуномовні хакери. Перші масові атаки зафіксували в Італії та Румунії, проте зараз загроза набула глобального характеру. Щоб не стати жертвою BingoMod, вкрай важливо уникати встановлення додатків зі сторонніх джерел і регулярно перевіряти дозволи в системних налаштуваннях Android.
Особливу увагу варто приділити списку програм, що мали доступ до Спеціальних можливостей, оскільки саме цей інструмент став головним ключем до управління пристроєм для авторів трояна.