Исследователи из Cleafy Labs обнаружили новую версию опасного Android-трояна BingoMod, который перешел на новый уровень кражи персональных данных и проведения банковского мошенничества.
Это вредоносное ПО относится к классу RAT (Remote Access Trojan) и позволяет хакерам не просто воровать средства, но и полностью захватывать управление устройством жертвы. В отличие от многих других вирусов, BingoMod ориентирован на методику On-Device Fraud (ODF), когда незаконные транзакции инициировались прямо со смартфона пользователя.
Это сделало кражу практически невидимой для защитных систем банков, так как действия выглядели как обычная активность владельца.
Распространение вируса началось через кампании смишинга (SMS-фишинга), где пользователям предлагали установить якобы полезные инструменты, такие как обновления Google Chrome или антивирусы под названиями APP Protection или WebSecurity. Сразу после установки BingoMod затребовал доступ к "Специальным возможностям" (Accessibility Services).
Получив это разрешение, троян распаковал свой основной вредоносный модуль и установил связь с командным сервером. Через этот канал хакеры смогли в реальном режиме времени получать скриншоты экрана, перехватывать SMS-сообщения и регистрировать каждое нажатие клавиш (кейлоггинг).
Особую опасность в новой модификации представил глубокий интерес злоумышленников к конфиденциальной информации в заметках и текстовых файлах.
Эксперты зафиксировали, что вирус целенаправленно искал сохраненные пароли, секретные вопросы и Seed-фразы от криптовалютных кошельков. Благодаря функции удаленного управления операторы вируса смогли самостоятельно запускать нужные приложения, нажимать на кнопки и вводить текст, обходя любые формы двухфакторной аутентификации. Суммы хищений при этом достигали 15 тысяч евро за одну транзакцию.
В финальной стадии атаки BingoMod применил редкую для мобильных угроз тактику "выжженной земли". После успешного вывода средств хакеры отправили команду на полное удаление данных и сброс настроек смартфона до заводских. Это позволило им не только скрыть следы своей деятельности, но и максимально затруднить работу экспертов по кибербезопасности при расследовании инцидента.
Хотя на текущем этапе вирус еще активно разрабатывался, специалисты отметили быстрое внедрение механизмов обфускации, которые позволили BingoMod обходить обнаружение большинством стандартных антивирусных программ.
Анализ кода показал, что за разработкой, вероятно, стоят румыноязычные хакеры. Первые массовые атаки зафиксировали в Италии и Румынии, однако сейчас угроза приобрела глобальный характер. Чтобы не стать жертвой BingoMod, крайне важно избегать установки приложений из сторонних источников и регулярно проверять разрешения в системных настройках Android.
Особое внимание стоит уделить списку программ, имеющих доступ к Специальным возможностям, так как именно этот инструмент стал главным ключом к управлению устройством для авторов трояна.
