近期,一款名为“BingoMod”的新型Android恶意软件引起了安全研究人员的高度关注。这款恶意软件不仅能够盗取受害者银行账户中的资金,还会在完成盗窃后清除设备数据。据Cleafy公司的研究显示,BingoMod主要通过短信钓鱼进行传播,伪装成安全工具,如APP Protection、Antivirus Cleanup等,有时甚至会盗用知名安全软件如AVG AntiVirus & Security的图标。
《Bleeping Computer》报道称,BingoMod的操作方式极为复杂。首先,它会请求使用设备的无障碍服务权限,这使得它能广泛控制受害者的设备。一旦获得权限,BingoMod就会开始窃取登录凭证、截屏并拦截短信。
为了实现设备上欺诈(ODF),该恶意软件还建立了HTTP通道,用于接收命令和发送截图,从而实现近乎实时的远程操作。BingoMod还利用Android的Media Projection API获取即时屏幕内容,甚至可以模仿用户行为,启用屏幕投射请求。它可以执行多种操作,包括点击特定区域、输入指令和启动应用程序。此外,BingoMod还会发起虚假通知,以进行覆盖攻击,并利用受感染的设备发送短信,进一步传播感染。
为了避免被检测,BingoMod的开发者采用了代码扁平化和字符串混淆等技术。根据VirusTotal的扫描结果,这些技术有效降低了检测率。为了增强隐蔽性,BingoMod还具备移除设备上的安全软件或阻止特定应用程序活动的能力。
报道还指出,BingoMod的危险性极高。每次交易可盗取高达15,000欧元,并且能够绕过标准的反欺诈系统。由于ODF技术可以从受害者的设备发起虚假交易,这使得依赖身份验证的安全系统难以察觉背后是恶意软件在作祟。
目前,BingoMod仍在密集开发中,其作者正在不断完善代码混淆和规避机制。这意味着未来可能会出现更难检测的版本。