BingoMod バンキング型トロイの木馬

サイバーセキュリティ研究者は、BingoMod という新しい Android リモート アクセス トロイの木馬 (RAT) を発見しました。このマルウェアは、感染したデバイスからの不正な送金を可能にし、その存在の痕跡を消去するためにデバイスを消去します。

2024 年 5 月下旬に発見された BingoMod は、現在も活発に開発中であると考えられています。ソース コードの初期バージョンにはルーマニア語で書かれたコメントが含まれているため、このトロイの木馬はルーマニア語を話す脅威アクターと関係があると考えられます。

BingoMod RAT の脅威的な機能

BingoMod は、最新のモバイル リモート アクセス トロイの木馬 (RAT) 世代の 1 つです。その高度なリモート アクセス機能により、脅威アクターは、オンデバイス詐欺 (ODF) 手法を使用して、感染したデバイスから直接アカウント乗っ取り (ATO) を実行できます。

この手法は、 Medusa (別名 TangleBot)、Copybara、 TeaBot (別名 Anatsa) など、他の Android バンキング型トロイの木馬でも確認されています。

BRATAと同様に、BingoMod は感染したデバイスから不正な転送の証拠を消去するように設計された自己破壊メカニズムを備えており、フォレンジック分析を複雑にしています。この機能は現在デバイスの外部ストレージにのみ影響しますが、リモート アクセス機能を使用して完全な工場出荷時設定へのリセットを開始できると疑われています。

BingoMod は一見便利なアプリケーションを装って人々の携帯電話に侵入する

発見されたアプリケーションの中には、セキュリティ ツールや Google Chrome のアップデートを装ったものがあります。スミッシング手法でインストールされた後、アプリはユーザーにアクセシビリティ サービスの許可を求め、それを使用して有害なアクティビティを実行します。

これらのアクティビティには、主要なペイロードを展開し、デバイス情報を収集するためにユーザーをメイン画面からロックアウトし、このデータを攻撃者が管理するサーバーに流出させることが含まれます。さらに、アプリケーションはアクセシビリティ サービス API を悪用して、画面に表示される認証情報や銀行口座の残高などの機密情報を収集します。また、SMS メッセージを傍受する権限を自身に付与します。

脅威アクターはBingoMod RATを直接操作する

BingoMod は、侵害されたデバイスから直接送金を実行するために、コマンド アンド コントロール (C2) インフラストラクチャとのソケットベースの接続を確立します。これにより、Android のメディア プロジェクション API 経由でスクリーンショットを撮ったり、デバイスとリアルタイムでやり取りしたりするなど、最大 40 個のリモート コマンドを受信できます。

BingoMod が使用するオンデバイス詐欺 (ODF) 手法では、大規模な金融詐欺に自動送金システム (ATS) を使用するのではなく、ライブオペレーターがトランザクションごとに最大 15,000 ユーロ (約 16,100 ドル) の送金を手動で処理する必要があります。

さらに、このマルウェアはコード難読化技術を採用しており、侵入したデバイスから任意のアプリケーションをアンインストールできるため、作成者は高度な機能よりも検出の回避とシンプルさを優先していることが示唆されます。

BingoMod は、リアルタイムの画面制御以外にも、オーバーレイ攻撃や偽の通知によるフィッシング機能も備えています。特定のターゲット アプリケーションが開かれたときにトリガーされる一般的なオーバーレイ攻撃とは異なり、BingoMod はマルウェア オペレーターを通じて直接これらの攻撃を開始します。