Un nouveau malware Android que les chercheurs appellent « BingoMod » peut effacer les appareils après avoir réussi à voler de l’argent sur les comptes bancaires des victimes en utilisant la technique de fraude sur l’appareil.
Promu par SMS, le malware se présente comme un outil de sécurité mobile légitime et peut voler jusqu’à 15 000 EUR par transaction.
Selon les chercheurs qui l’analysent, BingoMod est actuellement en développement actif, son auteur se concentrant sur l’ajout d’obscurcissement de code et de divers mécanismes d’évasion pour réduire le taux de détection.
Détails du BingoMod
Des chercheurs de Cleafy, une solution de gestion et de prévention de la fraude en ligne, ont découvert que BingoMod est distribué dans des campagnes de hameçonnage par SMS (hameçonnage par SMS) et utilise divers noms qui indiquent généralement un outil de sécurité mobile (par exemple, Protection des applications, Nettoyage antivirus, Mise à jour Chrome, InfoWeb, SicurezzaWeb, WebSecurity, Webinfo, WebInfo et APKAppScudo).
Dans un cas, le logiciel malveillant utilise l’icône de l’outil gratuit AVG AntiVirus & Security disponible sur Google Play.
Au cours de la routine d’installation, le logiciel malveillant demande l’autorisation d’utiliser les services d’accessibilité, qui fournissent des fonctionnalités avancées permettant un contrôle étendu de l’appareil.
Une fois actif, BingoMod vole toutes les informations de connexion, prend des captures d’écran et intercepte les messages SMS.
Pour effectuer une fraude sur l’appareil (ODF), le logiciel malveillant établit un canal basé sur un socket pour recevoir des commandes et un canal basé sur HTTP pour envoyer un flux de captures d’écran, permettant une opération à distance presque en temps réel.
ODF est une technique couramment utilisée pour initier des transactions frauduleuses à partir de l’appareil de la victime, qui trompe les systèmes anti-fraude standard qui reposent sur la vérification et l’authentification de l’identité.
Des chercheurs feuillus expliquent dans un rapport publié aujourd’hui que « la routine VNC abuse de l’API de projection multimédia d’Android pour obtenir du contenu d’écran en temps réel. Une fois reçu, celui-ci est transformé en un format approprié et transmis via HTTP à l’infrastructure [de l’auteur de la menace] du TAS. »
Une caractéristique de la routine est qu’elle peut tirer parti des Services d’accessibilité « pour usurper l’identité de l’utilisateur et activer la demande de diffusion d’écran, exposée par l’API de projection multimédia. »
Les commandes que les opérateurs distants peuvent envoyer au Bingo Mod incluent le fait de cliquer sur une zone particulière, d’écrire du texte sur un élément d’entrée spécifié et de lancer une application.
Le malware permet également des attaques de superposition manuelles via de fausses notifications initiées par l’auteur de la menace. De plus, un appareil infecté par Bingo Mod pourrait également être utilisé pour propager davantage le logiciel malveillant par SMS.
Désactivation des défenses et effacement des données
Bingo Mod peut supprimer des solutions de sécurité de l’appareil de la victime ou bloquer l’activité des applications que l’auteur de la menace spécifie dans une commande.
Pour échapper à la détection, les créateurs de logiciels malveillants ont ajouté des couches d’aplatissement du code et d’obscurcissement des chaînes, qui, sur la base des résultats de l’analyse sur VirusTotal, ont atteint l’objectif visé.
Si le logiciel malveillant est enregistré sur l’appareil en tant qu’application d’administration de l’appareil, l’opérateur peut envoyer une commande à distance pour effacer le système. Selon les chercheurs, cette fonction n’est exécutée qu’après un transfert réussi et n’affecte que le stockage externe.
Pour un effacement complet, il est possible que l’auteur de la menace utilise la capacité d’accès à distance pour effacer toutes les données et réinitialiser le téléphone à partir des paramètres système.
Bien que Bingo Mod en soit actuellement à la version 1.5.1, indique clairement qu’il semble en être à un stade précoce de développement.
Sur la base des commentaires du code, les chercheurs pensent que le mode Bingo pourrait être l’œuvre d’un développeur roumain. Cependant, il est également possible que des développeurs d’autres pays contribuent.