Sicherheitsforscher von Cleafy haben einen neuen, besonders hinterhältigen Remote-Access-Trojaner (RAT) entdeckt, der es auf Geräte mit Android-Betriebssystem abgesehen hat. Sein Name: BingoMod. Er führt sogenannte Overlay-Angriffe aus und ermöglicht den Fernzugriff auf die befallenen Geräte über eine Art Virtual Network Computing (VNC). Einmal auf dem Android-Gerät, versucht der RAT an Geld zu gelangen. Dafür späht er sensible Daten aus, um damit Accounts übernehmen zu können.
Entdeckt wurde der Trojaner bereits im Mai 2024. Er kann Authentifizierungs-, Verifizierungs- und Verhaltenserkennungsschutzmaßnahmen umgehen, indem er On-Device-Fraud (ODF) durchführt, wie dies auch bei anderen Banking-Trojanern wie Medusa, Copybara und Teabot der Fall ist. Besonders hinterhältig bei BingoMod: Er versteckt sich hinter legitimen Anwendungen und gibt sich oft als Sicherheits-App, wie beispielsweise „APP Protection“, „AVG AntiVirus & Security“ oder „WebSecurity“, aus, um die nichtsahnenden Nutzer zum Herunterladen und zur Installation zu bewegen.
Den Sicherheitsforschern von Cleafy zufolge verlangt BingoMod nach der Installation Zugriff auf Accessibility Services, um aktiv werden zu können und den schädlichen Payload auszuführen. Er liefert seinen Betreibern so sensible Daten durch Key-Logging, bei dem Zugangsdienste ausgenutzt werden, um Anmeldedaten oder Kontostände zu stehlen. Auch die per SMS verschickten TAN-Nummern werden abgefangen und an die Hintermänner weitergeleitet. Außerdem stellt sie eine socket-basierte Verbindung für den ODF her.
BingoMod bietet aktuell rund 40 Fernsteuerungsfunktionen, darunter Bildschirmsteuerung in Echtzeit durch VNC-ähnliche Routinen und Bildschirminteraktion. Sie nutzt die Media Projection API von Android, um Screenshots des Bildschirms zu erstellen und so einen umfassenden Überblick zu erhalten. Die Hacker können beliebige Befehle an die betroffenen Geräte senden, wodurch sie Banking-Apps angreifen und bis zu 15.000 Euro pro Transaktion stehlen können. Außerdem ermöglicht BingoMod seinen Betreibern den Versand von SMS, wodurch die Malware potenziell weiterverbreitet werden könnte.
Einfach entfernen lässt sich die Malware nicht mehr, wenn sie einmal auf einem Gerät Fuß gefasst hat, da Benutzer daran gehindert werden, Systemeinstellungen zu bearbeiten, bestimmte Anwendungen zu blockieren und Anwendungen zu deinstallieren. Um seine Spuren zu verwischen, setzt BingoMod Code-Verschleierungstechniken ein, die es Sicherheitssoftware erschweren, sie zu erkennen. Einige Varianten der Malware können die Daten des Geräts durch einen Werksreset löschen, um Beweise für den Diebstahl zu beseitigen - eine Taktik, die an die Brata-Malware erinnert, aber nicht direkt mit ihr verbunden ist.
BingoMod zielt derzeit auf Geräte in englischer, rumänischer und italienischer Sprache ab. Die Sicherheitsforscher gehen davon aus, dass sich die Malware noch in der Entwicklungsphase befindet und die Betreiber mit Verschleierungstechniken experimentieren, um die Erkennungsraten von Antivirenlösungen zu senken.
Das verheißt nichts Gutes für die Zukunft. Android-Nutzer sollten daher besonders vorsichtig sein, nur Apps aus dem offiziellen Google Play Store installieren und auf Apps von anderen Webseiten verzichten. Auch bei den geforderten Berechtigungen sollte man vorsichtig sein und genau überlegen, ob eine App die geforderten Rechte zum Betrieb auch tatsächlich braucht. Zusätzlich ist es sinnvoll, eine verlässliche Sicherheitssoftware zu installieren und regelmäßig Updates durchzuführen.
Bild (c) Pasi Mämmelä / Pixabay