Güvenlik araştırmacıları tarafından keşfedilen yeni bir Android Uzaktan Erişim Aracı (RAT) ‘BingoMod’ olarak adlandırıldı. BingoMod RAT, genellikle popüler güvenlik araçları şeklinde gizleniyor ve ilişkili kötü amaçlı yazılım ailesi, Android kullanıcıları için önemli bir tehdit olarak tanımlandı.
BingoMod, geleneksel bankacılık güvenlik önlemlerini atlatarak, tehlikeye atılmış cihazlardan yetkisiz para transferleri başlatmak için Cihaz İçi Sahtekarlık (ODF) yöntemini kullanır.
BingoMod Android Erişilebilirlik Hizmetlerini İstismar Ediyor
BingoMod, kimlik bilgileri, SMS mesajları ve hesap bakiyeleri gibi hassas bilgilere erişerek faaliyet göstermektedir. RAT aracını ilk olarak Mayıs ayında tespit eden Cleafy Threat Intelligence (TIR) ekibi, bunun Erişilebilirlik Hizmetlerini istismar ederek ve enfekte olmuş Android cihazlarda tuş kaydı ve SMS müdahalesi tekniklerini kullanarak başardığını söyledi.
Kötü amaçlı yazılımın temel işlevi, tehdit aktörlerinin enfekte cihazın kontrolünü ele geçirmesine ve gerçek zamanlı olarak sahtekarlık işlemleri gerçekleştirmesine olanak tanıyan ODF’yi kolaylaştırmaktır. BingoMod yüklendikten sonra kullanıcıdan Erişilebilirlik Hizmetlerini etkinleştirmesini ister ve isteği uygulamanın doğru çalışması için gerekliymiş gibi gizler. Kullanıcı istenen izinleri verirse, kötü amaçlı yazılım kendini açmaya başlar ve kötü amaçlı yükünü yürütür.
BingoMod, saldırganların cihazı uzaktan görüntülemesine ve onunla etkileşime girmesine olanak tanır, kimlik avı amacıyla üst üste bindirme saldırıları ve sahte bildirimler kullanır ve hatta saldırganların ele geçirilmiş cihazlardan SMS mesajları göndermesine olanak tanıyabilir; bu da kötü amaçlı yazılımı daha da yaymak için kullanılabilir.
BingoMod, enfekte cihazlarda kalıcılığı sürdürmek ve analizi engellemek için çeşitli karşı önlemler içerir. Sistem ayarlarına erişimi kısıtlar, belirli uygulamaları engeller ve hatta güvenlik uygulamalarını kaldırabilir. Nükleer bir seçenek olarak, kötü amaçlı yazılım ayrıca saldırganların cihazın depolama alanını uzaktan silmesine ve etkinliklerinin kanıtlarını etkili bir şekilde silmesine olanak tanıyabilir.
BingoMod, aktörlerden komut almak için komut ve kontrol altyapısı (C2) ile soket tabanlı bir bağlantı kurar. Bu, kötü amaçlı yazılımın gerçek zamanlı ekran kontrolü, ekran etkileşimi ve üst üste bindirme saldırıları dahil olmak üzere yaklaşık 40 uzaktan kontrol işlevi sağlamasına olanak tanır. Kötü amaçlı yazılım iki ayrı iletişim kanalı kullanır: komut iletimi için soket tabanlı bir kanal ve görüntü aktarımı için HTTP tabanlı bir kanal.
BingoMod’un Evrimi ve Karartılması
BingoMod keşfedildiğinden beri, antivirüs çözümleri tarafından tespit edilmekten kaçınmak için öncelikle karartma tekniklerine odaklanarak önemli bir evrim geçirdi. Temel işlevsellik büyük ölçüde değişmeden kalırken, geliştiriciler kod düzleştirme ve dize karartma uygulayarak tespit oranını önemli ölçüde düşürdüler.
Bu, daha karmaşık özellikler geliştirmek yerine fırsatçı saldırılara odaklanmayı öneriyor. İlginç bir ekleme, PingUtil sınıfındaki asenkron geri arama mekanizmasıdır; bu, komut ve kontrol sunucusuna “canlı” sinyaller göndererek botun durumu hakkında bilgi sağlar.
BingoMod geliştiricileri, AV çözümlerine karşı algılamayı azaltmak için uygulama karartma ve paketleme süreçlerine odaklanarak deneysel bir aşamadadır. Araştırmacılar, kötü amaçlı yazılımın erken ve daha yeni sürümleri arasında gözlemlenen değişikliklerde bu deneysel doğanın kanıtlarını bulurlar. Genel yapı ve işlevsellik aynı kalırken, kullanılan karartma genel algılama oranını düşürür.
Başarılı bir sahte transferden sonra cihazı uzaktan silen BingoMod’un kendi kendini yok etme mekanizması, Android cihaz kötü amaçlı yazılım ortamında nispeten nadir bir seçenektir ve BingoMod geliştiricileri, Brata gibi diğer kötü amaçlı yazılım aileleri tarafından kullanılan benzer yöntemlerin farkında olabilir. Kötü amaçlı yazılım gelişmeye devam ettikçe, güvenlik araştırmacılarının gelişimini izlemeleri ve tehditleriyle mücadele etmek için stratejiler uyarlamaları önemlidir.