资安公司Cleafy研究发现了新种类的Android恶意软体,并命名为 BingoMod。BingoMod会试图接管装置上银行帐户并且转移金钱,在成功完成盗取任务后,攻击者便会抹除受感染的装置,消除BingoMod的活动痕迹,增加BingoMod被调查的困难度。
BingoMod属于远端存取木马(RAT),攻击者可以利用它远端控制受感染的装置,并且利用装置上诈骗(On Device Fraud)技术接管银行帐户。BingoMod主要透过简讯钓鱼的方式散布,其通常会伪装成合法的防毒软体,一旦BingoMod安装至受害者装置上,便会要求用户启用无障碍服务,当用户授予请求权限,BingoMod APK便会开始自我解压缩,并且执行恶意酬载(Payload)。
BingoMod利用无障碍服务监控键盘纪录,窃取用户输入的敏感资讯,并拦截金融机构透过简讯发送的交易验证码,进一步窃取受害者身分并进行金融诈骗。另外,BingoMod还会透过远端控制功能,让攻击者可以完全操纵受感染装置,从远端执行诸如点击、填写表单和打开应用程式等操作。
同时,BingoMod还会使用Media Projection API获取即时萤幕内容,把这些资料传送给攻击者,使其能够监控装置运作。此恶意软体的钓鱼手段包括覆盖攻击和虚假通知,诱使用户输入敏感资讯并且进一步传播恶意软体。
不仅如此,BingoMod通常在成功窃取受害者银行财务后,还会远端抹除装置。虽然研究人员指出,此功能仅限于清除装置的外部储存,但是攻击者也可能透过BingoMod远端存取能力,从系统设定中执行完整清除。
BingoMod特性使其成为一个具高度威胁性的恶意软体,对受感染装置的控制能力极高,可以执行广泛的恶意活动。研究人员认为BingoMod的开发者可能缺乏进阶的恶意软体技术或经验,仅用了基本的混淆技术和简单功能,相较于复杂性,开发者可能更重视功能快速实作。
BingoMod虽然拥有类似于Brata恶意软体的装置抹除能力,但因为BingoMod相对简单,所以研究人员猜测BingoMod装置抹除功能,比较像是一种简单的退出策略。
防止BingoMod的措施除了避免点击不明讯息中的连结,也要小心应用程式的权限请求,确保安装可靠的防毒软体和安全应用程式,同时也要为所有敏感帐户启用双因素验证,并且经常检查金融交易纪录,及早发现任何可疑和未经授权的活动。