حصان طروادة الجديد للخدمات المصرفية لنظام Android BingoMod يسرق الأموال ويمسح الأجهزة
كشف باحثون في مجال الأمن السيبراني عن فيروس طروادة جديد يعمل بنظام التشغيل Android (RAT) للوصول عن بعد BingoMod لا يقتصر الأمر على إجراء عمليات تحويل أموال احتيالية من الأجهزة المخترقة فحسب، بل يقوم أيضًا بمسحها في محاولة لمحو آثار البرامج الضارة.
وقالت شركة الأمن السيبراني الإيطالية Cleafy، التي اكتشفت برنامج RAT في نهاية مايو 2024، إن البرنامج الضار قيد التطوير النشط. وأرجعت فيروس طروادة الذي يعمل بنظام Android إلى جهة تهديد محتملة ناطقة بالرومانية نظرًا لوجود تعليقات باللغة الرومانية في الكود المصدري المرتبط بالإصدارات المبكرة.
“ينتمي BingoMod إلى جيل RAT الحديث من البرامج الضارة المحمولة، حيث تتيح إمكانات الوصول عن بعد الخاصة به لعناصر التهديد (TAs) إجراء عملية الاستيلاء على الحساب (ATO) مباشرة من الجهاز المصاب، وبالتالي استغلال تقنية الاحتيال على الجهاز (ODF)” أليساندرو سترينو وسيمون ماتيا قال.
ومن الجدير بالذكر هنا أنه تمت ملاحظة هذه التقنية في أحصنة طروادة المصرفية الأخرى التي تعمل بنظام Android، مثل Medusa (المعروف أيضًا باسم TangleBot)، وCopybara، وTeaBot (المعروف أيضًا باسم Anatsa).
يتميز BingoMod، مثل BRATA، أيضًا باستخدام آلية التدمير الذاتي المصممة لإزالة أي دليل على النقل الاحتيالي على الجهاز المصاب وذلك لعرقلة التحليل الجنائي. على الرغم من أن هذه الوظيفة تقتصر على وحدة التخزين الخارجية للجهاز، فمن المحتمل أن يتم استخدام ميزات الوصول عن بعد لبدء إعادة ضبط المصنع بالكامل.
تتنكر بعض التطبيقات التي تم تحديدها كأدوات لمكافحة الفيروسات وتحديث لمتصفح Google Chrome. بمجرد التثبيت، يطلب التطبيق من المستخدم منحه أذونات خدمات الوصول، واستخدامه لبدء إجراءات ضارة.
يتضمن ذلك تنفيذ الحمولة الرئيسية وإبعاد المستخدم عن الشاشة الرئيسية لجمع معلومات الجهاز، والتي يتم بعد ذلك ترحيلها إلى خادم يتحكم فيه المهاجم. كما أنه يسيء استخدام واجهة برمجة تطبيقات خدمات الوصول لسرقة المعلومات الحساسة المعروضة على الشاشة (مثل بيانات الاعتماد وأرصدة الحسابات المصرفية) ويمنح نفسه الإذن باعتراض الرسائل النصية القصيرة.
لبدء تحويلات الأموال مباشرة من الأجهزة المخترقة، يقوم BingoMod بإنشاء اتصال قائم على مأخذ توصيل مع البنية التحتية للأمر والتحكم (C2) لتلقي ما يصل إلى 40 أمرًا عن بعد لالتقاط لقطات شاشة باستخدام نظام Android. واجهة برمجة تطبيقات إسقاط الوسائط والتفاعل مع الجهاز في الوقت الحقيقي.
وهذا يعني أيضًا أن تقنية ODF تعتمد على مشغل مباشر لإجراء تحويل أموال يصل إلى 15000 يورو (~ 16100 دولار) لكل معاملة بدلاً من الاستفادة من نظام التحويل الآلي (ATS) لتنفيذ الاحتيال المالي على نطاق واسع.
هناك جانب حاسم آخر وهو تركيز جهة التهديد على تجنب الكشف باستخدام تقنيات تشويش التعليمات البرمجية والقدرة على إلغاء تثبيت التطبيقات التعسفية من الجهاز المخترق، مما يشير إلى أن مؤلفي البرامج الضارة يعطون الأولوية للبساطة على الميزات المتقدمة.
وقال الباحثون: “بالإضافة إلى التحكم في الشاشة في الوقت الفعلي، تُظهر البرامج الضارة قدرات التصيد الاحتيالي من خلال هجمات التراكب والإشعارات المزيفة”. “على غير العادة، لا يتم تشغيل هجمات التراكب عند فتح تطبيقات مستهدفة محددة، ولكن يتم بدءها مباشرة بواسطة مشغل البرامج الضارة.”
إرسال التعليق