BingoMod Android zlonamjerni softver

AUTOR · Published · Updated

BingoMod je podmukli mobilni zlonamjerni softver prerušen u bezbjednosni alat koji su nedavno otkrili sigurnosni istraživači iz kompanije Cleafy. Ovaj zlonamjerni softver se distribuira kroz smishing kampanje i koristi različita imena da bi prevario potencijalne žrtve, primarno ciljajući  Android uređaje, a dizajniran je da izbjegne otkrivanje na različite načine kao što su zamagljivanje kôda i manipulacija sistemskim postavkama.

BingoMod

BingoMod Android zlonamjerni softver; Source: Bing Image Creator

BINGOMOD ZLONAMJERNI SOFTVER

BingoMod je zlonamjerni softver koji se distribuira putem smishing (SMS phishing) kampanja  koji se prerušava u različite mobilne bezbjednosne alate. Otkriveno je da zlonamjerni softver zahteva dozvolu za usluge pristupačnosti tokom instalacije, što mu daje naprednu kontrolu nad uređajem.

BingoMod je do sada identifikovana u svojoj verziji 1.5.1 i čini se da je ovaj zlonamjerni softver u relativno ranoj fazi razvoja na osnovu procjene koju su sproveli sigurnosni istraživači. Zlonamjerni softver prvenstveno cilja Android uređaje i dizajniran je da izbjegne otkrivanje na različite načine kao što su zamagljivanje koda i manipulacija sistemskim postavkama.

 

Porijeklo

Poreklo programera koji stoje iza BingoMod zlonamjernog softvera bilo je predmet mnogih spekulacija na osnovu određenih tragova otkrivenih tokom istrage. Neki komentari u ranijim verzijama zlonamjernog softvera napisani su na rumunskom, ali su ovi komentari od tada uklonjeni iz novijih verzija. Ovo bi moglo da sugeriše da su zlonamjerni akteri odgovorni za razvoj zlonamjernog softvera možda evoluirali tokom vremena i uključili programere iz različitih zemalja ili regiona kako bi smanjili indikatore koji bi agencijama za sprovođenje zakona pomogli u usmjeravanju svojih istraga i otkrivanju počinilaca.

Pored toga, postojala je nedavna kampanja koja je uključivala verziju 1.4.3b zlonamjernog softvera koji je postavljen na VirusTotal platformu sa IP adrese koja je geolocirala u rumunskom regionu. Iako je ovo ponašanje uvjerljivo i može se pripisati legitimnim korisnicima ili programerima u toj oblasti, ono pojačava sumnje u aktivne kampanje i oblasti uključene u njihove napade.

 

Funkcionisanje i mogućnosti

BingoMod se prvenstveno širi kroz smishing kampanje koristeći različite nazive koji obično ukazuju na mobilne bezbjednosne alate ili aplikacije. Na primjer, može se predstavljati kao APP Protection, Antivirus Cleanup, Chrome Update i slično. Jednom instaliran, BingoMod počinje da koristi opsežne funkcije daljinskog upravljanja.

Među ovim karakteristikama su i mogućnosti kontrole ekrana u realnom vremenu koje omogućavaju zlonamjernim akterima da steknu sveobuhvatan nadzor i da stupe u interakciju sa uređajem žrtve kao da su fizički prisutni. Ovaj nivo pristupa može dovesti do značajne krađe podataka, finansijskog gubitka ili čak krađe identiteta.

 

Kontrola ekrana u realnom vremenu

BingoMod koristi rutinu sličnu VNC protokolu (virtualno mrežno računarstvo) za pravljenje snimaka ekrana zaraženog uređaja u redovnim intervalima, pružajući zlonamjernim akterima informacije u realnom vremenu o aktivnostima žrtve na njihovom ekranu. Ova funkcionalnost je posebno korisna za praćenje osjetljivih podataka ili praćenje ponašanja korisnika.

To znači da VNC rutina zloupotrebljava Media Projection API koji omogućava Android uređajima da preslikavanju svoje ekrane na druge ekrane, kao što su televizori ili projektori. BingoMod koristi ovu funkciju tako što kreira medijsku sesiju i registruje je u sisteme. Kada se registruju, zlonamjerni akteri mogu da snime snimke ekrana zaraženog uređaja koristeći funkciju API snimanja ekrana.

Da bi postigao trajni pristup ekranu žrtve, zlonamjerni softver koristi usluge pristupačnosti. Registrovanjem usluge pristupačnosti na Android sistemu, dobija se dozvola za interakciju sa drugim aplikacijama u ime korisnika. Ovo omogućava zlonamjernim akterima da omoguće zahtev za prebacivanje ekrana koji je izložen preko Media Projection API funkcionalnosti i održavaju stalnu vezu sa uređajem žrtve.

 

Interakcija sa aplikacijama na daljinu

BingoMod podržava različite komande koje omogućavaju zlonamjernim akterima da komuniciraju sa aplikacijama na zaraženom uređaju na daljinu. Ove interakcije uključuju klikanje na dugmad, popunjavanje obrazaca, navigaciju između aplikacija ili čak pokretanje aplikacija. Ovaj nivo kontrole može dovesti do značajne krađe podataka i neovlaštenog pristupa osjetljivim informacijama.

Da bi izvršio ove komande, zlonamjerni softver koristi dva odvojena kanala komunikacije: kanal zasnovan na priključku (eng. socket) za prenos komandi i kanal zasnovan na HTTP protokolu za prenos slike.

 

Ručni napadi preko lažnih obavještenja

BingoMod takođe podržava ručne napade preklapanjem tako što pokreće lažna obavještenja. Ova obavještenja se mogu pojaviti kao legitimna sistemska upozorenja i podstaći korisnike da daju dozvole koje bi mogle dodatno da ugroze njihov uređaj. Na primjer, obavještenje koje traži pristup lokaciji ili SMS dozvole može se koristiti za dobijanje dodatnih privilegija na zaraženom uređaju.

Jednom kada su odobrene, zlonamjerni akteri mogu da koriste ove dozvole za obavljanje različitih radnji kao što su slanje tekstualnih poruka, telefonski pozivi ili čak instaliranje zlonamjernog softvera na druge uređaje putem SMS poruka. Ova sposobnost povećava potencijalni domet prijetnje i čini je još izazovnijom za suzbijanje.

 

Izbjegavanje zaštite i brisanje uređaja

Da bi izbjegli otkrivanje, zlonamjerni akteri koji stoje iza BingoMod zlonamjernog softvera su dodali slojeve za izravnavanje koda i zamagljivanje nizova. Ove tehnike otežavaju bezbjednosnim rješenjima da identifikuju zlonamjerni softver prikrivajući njegovu pravu prirodu i namjeru. Na osnovu rezultata skeniranja dobijenih od VirusTotal platforme, čini se da su ove mjere efikasne u postizanju ciljanog izbjegavanja otkrivanja.

Još jedna značajna sposobnost BingoMod zlonamjernog softvera leži u njegovoj moći da onemogući odbranu na uređajima žrtve. Zlonamjerni softver je sposoban da ukloni bezbjednosna rješenja sa uređaja žrtve ili da blokira aktivnost aplikacija koje su navedene u komandi koju je izdao zlonamjerni akter. Ovo može ostaviti korisnike ranjivim i otvorenim za dalje napade, zbog čega je od ključne važnosti da budu svjesni ovog potencijalnog rizika.

Tu je i značajna mogućnost ovog zlonamjernog softvera da obriše podatke sa zaraženih uređaja ako je operater dobio administrativni pristup na uređaju. Ova funkcija se izvršava obično nakon uspješnog prenosa i utiče samo na spoljnu memoriju, a za potpuno brisanje, moguće je da zlonamjerni akter koristi druge metode ili alate.

 

Uticaj

Ovaj zlonamjerni softver predstavlja značajnu prijetnju korisnicima mobilnih uređaja, posebno onima koji nisu svjesni rizika povezanih sa klikom na sumnjive veze ili preuzimanjem aplikacija iz nepouzdanih izvora. Zlonamjerni softver može da izazove nepovratnu štetu brisanjem svih podataka i resetovanjem telefona, kao i krađu osjetljivih informacija koje bi mogle da se koriste za krađu identiteta ili druge zlonamjerne svrhe. Kompanija Google je potvrdila da Play Protect, ugrađeni antivirusni softver za Android uređaje, otkriva i blokira BingoMod zlonamjerni softver.

 

ZAKLJUČAK

BingoMod predstavlja značajnu prijetnju korisnicima mobilnih uređaja, posebno onima koji nisu svjesni rizika povezanih sa klikom na sumnjive veze ili preuzimanjem aplikacija iz nepouzdanih izvora. Zlonamjerni softver može da izazove nepovratnu štetu brisanjem svih podataka i resetovanjem telefona, kao i krađu osjetljivih informacija koje bi mogle da se koriste za krađu identiteta ili druge zlonamjerne svrhe.

Sve ovo samo naglašava značajne rizike koje predstavljaju Android zlonamjerni softveri i za krajnje korisnike i za finansijske institucije. Iako je ovaj zlonamjerni softver manje sofisticiran od više automatizovanih sistema, ova prijetnja i dalje može dovesti do značajnog ekonomskog gubitka i narušavanja bezbjednosti ličnih podataka. Za pojedince to može značiti gubitak ušteđevine ili krađu identiteta u zlonamjerne svrhe. Za organizacije, to bi moglo dovesti do ugrožavanja reputacije i potencijalnih pravnih postupaka od strane pogođenih kupaca.

Pored toga, korištenje smishing napada kao metode distribucije čini ove prijetnje još opasnijim, jer mogu zaobići tradicionalne filtere elektronske pošte i zaštitne zidove. A mogućnost brisanja uređaja nakon uspješnog prenosa podataka povećava vjerovatnoću da žrtve neće primijetiti svoj gubitak dok ne bude prekasno.

 

ZAŠTITA

Da biste se zaštitili od BingoMod zlonamjernog softvera, neophodno je primijeniti višeslojni pristup koji uključuje sljedeće mjere:

  1. Uvjeriti se da su sav softver i operativni sistemi ažurirani sa najnovijim bezbjednosnim ispravkama. Ovo pomaže u ublažavanju poznatih ranjivosti koje bi napadači mogli da iskoriste za instaliranje zlonamjernog softvera kao što je BingoMod,
  2. Koristiti pouzdano antivirusno rješenje koje može da otkrije, blokira i ukloni BingoMod Android uređaja. Renomirano bezbjednosno riješenje sa mogućnostima otkrivanja prijetnji u realnom vremenu može pomoći korisnicima da budu informisani o potencijalnim prijetnjama i da odmah preduzmu odgovarajuće mjere. Pored toga, kompanija Google je potvrdila da Play Protect blokira ovaj zlonamjerni softver, tako da treba provjeriti da li je ova opcija u podešavanjima uređaja omogućena,
  3. Zlonamjerni softver BingoMod se širi putem smishing napada korištenjem zlonamjernih veza. Izbjegavati klikove na veze u porukama sumnjivog porijekla da bi se spriječile potencijalne infekcije,
  4. Koristiti jake, jedinstvene lozinke koje je napadačima teško pogoditi ili provaliti pomoću automatizovanih alata. Razmisliti o korišćenju uglednog menadžera lozinki za bezbjedno generisanje i skladištenje složenih lozinki,
  5. Omogući autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kao dodatni nivo sigurnosti koji će zahtijevati da se obezbijedi dodatna provjera identiteta. To može biti kôda poslat putem SMS poruke ili generisan preko aplikacije za autentifikaciju, pre pristupa korisničkim nalozima. To napadačima otežava neovlašteni ulazak čak i ako uspiju da ukradu lozinke,
  6. Izbjegavati preuzimanje neprovjerenih aplikacija i koristiti pouzdane izvore kao što je Google Play prodavnica kada se instaliraju nove aplikacije na uređaju. Zlonamjerne aplikacije mogu da sadrže zlonamjerni softver, kao što je BingoMod, koji bi mogao da ugrozi sistem i podatke na uređaju,
  7. Redovno praviti rezervne kopije svih kritičnih podataka da bi se spriječio gubitak u slučaju uspješnog napada ili brisanja uređaja od strane operatera zlonamjernog softvera. Koristite usluge skladištenja u oblaku, eksterne čvrste diskove ili druga rješenja za rezervne kopije za bezbjedno skladištenje podataka,
  8. Ograničite dozvole aplikacija i biti oprezan kada se aplikacijama daje pristup osjetljivim informacijama i sistemskim podešavanjima na uređajima. Davati samo neophodne dozvole i redovno pregledajte i opozivajte sve nepotrebne da bi se umanjila potencijalna šteta ako je aplikacija ugrožena zlonamjernim softverom kao što je BingoMod,
  9. Potrebno je biti informisan o najnovijim trendovima, prijetnjama i najboljim praksama u oblasti sajber bezbjednosti čitajući renomirane blogove o bezbjednosti, posjećujući vebinare ili se pridružiti internet zajednicama fokusiranim na bezbjednost informacija. Ovo znanje će pomoći da se donesu bolje informisane odluke kada je u pitanju zaštita uređaja od zlonamjernog softvera kao što je BingoMod.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.