Como desgraça pouca é bobagem, o malware BingoMod limpa o Android após esvaziar contas bancárias. Confira os detalhes dessa ameaça.
Um novo malware para Android que os pesquisadores chamam de “BingoMod” pode limpar dispositivos após roubar dinheiro das contas bancárias das vítimas usando a técnica de fraude no dispositivo.
BingoMod limpa o Android após esvaziar contas bancárias
Sim. O malware BingoMod limpa o Android após esvaziar contas bancárias. Promovido por meio de mensagens de texto, o malware se apresenta como uma ferramenta legítima de segurança móvel e pode roubar até 15.000 EUR por transação.
De acordo com os pesquisadores que o analisaram, o BingoMod está atualmente em desenvolvimento ativo, com seu autor se concentrando em adicionar ofuscação de código e vários mecanismos de evasão para diminuir a taxa de detecção.
Pesquisadores da Cleafy, uma solução de gerenciamento e prevenção de fraudes online, descobriram que o BingoMod é distribuído em campanhas de smishing (phishing por SMS) e usa vários nomes que normalmente indicam uma ferramenta de segurança móvel (por exemplo, APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo e APKAppScudo).
Em uma instância, o malware usa o ícone da ferramenta gratuita AVG AntiVirus & Security disponível no Google Play.
Durante a rotina de instalação, o malware solicita permissão para usar os Serviços de Acessibilidade, que fornecem recursos avançados que permitem amplo controle do dispositivo.
Uma vez ativo, o BingoMod rouba todas as credenciais de login, tira capturas de tela e intercepta mensagens SMS.
Para executar fraude no dispositivo (ODF), o malware estabelece um canal baseado em soquete para receber comandos e um canal baseado em HTTP para enviar um feed de capturas de tela, permitindo uma operação remota quase em tempo real.
ODF é uma técnica comum usada para iniciar transações fraudulentas do dispositivo da vítima, que engana os sistemas antifraude padrão que dependem de verificação de identidade e autenticação.
Os pesquisadores da Cleafy explicam em um relatório que “a rotina VNC abusa da API de projeção de mídia do Android para obter conteúdo de tela em tempo real.
Uma vez recebido, isso é transformado em um formato adequado e transmitido via HTTP para a infraestrutura dos TAs [atores de ameaças]”.
Um recurso da rotina é que ela pode aproveitar os Serviços de Acessibilidade “para personificar o usuário e habilitar a solicitação de transmissão de tela, exposta pela API de projeção de mídia”.
Os comandos que os operadores remotos podem enviar ao BingoMod incluem clicar em uma área específica, escrever texto em um elemento de entrada especificado e iniciar um aplicativo.
O malware também permite ataques de sobreposição manual por meio de notificações falsas iniciadas pelo agente de ameaças. Além disso, um dispositivo infectado com o BingoMod também pode ser usado para espalhar ainda mais o malware por SMS.
O BingoMod pode remover soluções de segurança do dispositivo da vítima ou bloquear a atividade de aplicativos que o agente de ameaças especifica em um comando.
Para evitar a detecção, os criadores do malware adicionaram camadas de achatamento de código e ofuscação de string, que, com base nos resultados da verificação no VirusTotal, atingiram o objetivo pretendido.
Se o malware estiver registrado no dispositivo como um aplicativo de administração do dispositivo, o operador pode enviar um comando remoto para limpar o sistema.
De acordo com os pesquisadores, essa função é executada somente após uma transferência bem-sucedida e afeta apenas o armazenamento externo.
Para uma limpeza completa, é possível que o agente da ameaça use o recurso de acesso remoto para apagar todos os dados e redefinir o telefone a partir das configurações do sistema.
Embora o BingoMod esteja atualmente na versão 1.5.1, a Cleafy diz que parece estar em um estágio inicial de desenvolvimento.
Com base nos comentários no código, os pesquisadores acreditam que o BingoMod pode ser o trabalho de um desenvolvedor romeno. No entanto, também é possível que desenvolvedores de outros países estejam contribuindo.