Un malware para Android denominado ‘BingoMod‘, tiene la capacidad de borrar dispositivos después de sustraer dinero de las cuentas bancarias de las víctimas (hasta 15.000 euros por transacción). Está en desarrollo activo, con su autor enfocado en agregar ofuscación de código y mecanismos de evasión para reducir su tasa de detección.

Investigadores de Cleafy, descubrió que ‘BingoMod‘se distribuye en campañas de smishing y utiliza varios nombres que suelen sugerir una herramienta de seguridad móvil, como APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, APKAppScudo y AVG AntiVirus.

Durante la instalación, el malware solicita permiso para usar los Servicios de accesibilidad, que proporcionan funciones avanzadas para un control extenso del dispositivo. Una vez activo, roba credenciales de inicio de sesión, toma capturas de pantalla e intercepta mensajes SMS.

Para realizar fraudes en el dispositivo (ODF – técnica para iniciar transacciones desde el dispositivo de la víctima), el malware establece un canal basado en sockets para recibir comandos y un canal basado en HTTP para enviar capturas de pantalla, permitiendo una operación remota casi en tiempo real.

Según Cleafy, una característica de la rutina VNC es aprovechar los Servicios de Accesibilidad para hacerse pasar por el usuario y habilitar la solicitud de transmisión, expuesta por la API de proyección de medios de Android para obtener contenido de pantalla en tiempo real. Una vez recibido, se transforma en un formato adecuado y se transmite a través de HTTP a la infraestructura de los ciberdelincuentes.

El malware permite ataques de superposición manual a través de notificaciones falsas iniciadas por el actor de amenazas. Un dispositivo infectado podría usarse para propagar aún más el malware a través de SMS. Los comandos que los operadores remotos pueden enviar a ‘BingoMod‘ incluyen hacer clic en áreas precisas, escribir texto en elementos de entrada específicos e iniciar aplicaciones.

BingoMod‘ puede eliminar soluciones de seguridad del dispositivo de la víctima o bloquear la actividad de aplicaciones específicas según los comandos. Para evadir la detección, han añadido capas de aplanamiento de código y ofuscación de cadenas.

Si el malware está registrado como una aplicación de administración del dispositivo, el operador puede enviar un comando remoto para borrar el sistema. Esta se ejecuta después de una transferencia exitosa y afecta únicamente al almacenamiento externo. Para un borrado completo, el actor de amenazas podría utilizar la capacidad de acceso remoto para borrar todos los datos y restablecer el teléfono desde la configuración del sistema.

Fuente:

BingoMod: The new android RAT that steals money and wipes data | Cleafy Labs

New Android malware wipes your device after draining bank accounts