Eine neue Android-Malware namens „BingoMod“ sorgt derzeit für Aufsehen in der Cybersicherheits-Community. Laut Forschern des Online-Betrugsmanagement- und Präventionsunternehmens Cleafy ist die Malware in der Lage, nach erfolgreicher Entwendung von Geld aus den Bankkonten der Opfer deren Geräte vollständig zu löschen.
BingoMod wird über SMS-Phishing-Kampagnen (was man übrigens offenbar „Smishing“ nennt, wieder was gelernt) verbreitet und tarnt sich als legitimes Sicherheitstool für Mobilgeräte. Dabei verwendet die Malware verschiedene Namen wie „APP Protection“, „Antivirus Cleanup“ oder „Chrome Update“, die auf eine Sicherheitsanwendung hindeuten sollen. In einem Fall nutzte BingoMod sogar das Icon des kostenlosen „AVG AntiVirus & Security“-Tools aus dem Google Play Store.
Während der Installation fordert die Malware die Berechtigung an, auf Accessibility Services zuzugreifen. Damit erhält BingoMod weitreichende Kontrolle über das infizierte Gerät. Ist die Schadsoftware erst einmal aktiv, stiehlt sie Login-Daten, erstellt Screenshots und fängt SMS-Nachrichten ab.
Für sogenannten „On-Device Fraud“ (ODF) baut BingoMod einen Socket-basierten Kanal auf, um Befehle zu empfangen, sowie einen HTTP-Kanal, um einen Strom von Screenshots zu senden. Dies ermöglicht den Angreifern eine nahezu Echtzeit-Fernsteuerung des Geräts. ODF ist eine gängige Technik, um betrügerische Transaktionen vom Gerät des Opfers aus zu initiieren und so Standard-Betrugserkennungssysteme zu umgehen.
Dieser Wandel verdeutlicht einen breiteren Trend in der Malware-Landschaft, bei dem der Schwerpunkt auf der Ausnutzung des Geräts zur Durchführung betrügerischer Aktivitäten liegt, anstatt hochautomatisierte Systeme zu entwickeln. Die analysierte Malware entspricht diesem Trend und konzentriert sich auf die direkte Interaktion mit dem Gerät des Opfers, um ihre bösartigen Ziele zu erreichen. Dieser Ansatz ist zwar weniger ausgeklügelt, birgt aber aufgrund des Potenzials für erhebliche wirtschaftliche Verluste und die Beeinträchtigung der Sicherheit persönlicher Daten immer noch erhebliche Risiken für Endnutzer und Finanzinstitute.
Cleafy
Laut Cleafy-Forschern kann BingoMod bis zu 15.000 EUR pro Transaktion stehlen. Zudem ist die Malware in der Lage, Sicherheitslösungen vom Gerät des Opfers zu entfernen oder die Aktivität bestimmter Apps zu blockieren.
Besonders besorgniserregend ist die Fähigkeit von BingoMod, auf Befehl der Angreifer eine vollständige Löschung des infizierten Geräts auszulösen. Dies geschieht laut den Forschern jedoch erst nach erfolgreicher Überweisung und betrifft zunächst nur den externen Speicher. Für eine komplette Löschung könnten die Angreifer aber auch die Fernzugriffsfunktion nutzen.
BingoMod scheint sich derzeit noch in einem frühen Entwicklungsstadium zu befinden. Aufgrund von Kommentaren im Code vermuten die Cleafy-Forscher, dass BingoMod das Werk eines rumänischen Entwicklers sein könnte. Es sei jedoch auch möglich, dass Programmierer aus anderen Ländern beteiligt sind.
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. *provisionierte Affiliate-Links.
Update 8/2: Google has confirmed that Play Protect detects and blocks BingoMod.