Nel panorama digitale attuale, la sicurezza dei dispositivi Android è a rischio alto a causa della crescente diffusione di malware sofisticati. Tra questi, un nuovo malware chiamato BingoMod sta catturando l’attenzione dei ricercatori per la sua capacità di effettuare frodi e persino di cancellare dati dai dispositivi, a seguito dell’accesso ai conti bancari delle vittime. Questo articolo esplorerà in dettaglio le caratteristiche di BingoMod, soffermandosi sulle modalità di diffusione e sulle strategie di evasione del malware.
BingoMod è stato identificato dai ricercatori di Cleafy come parte di campagne di smishing , camuffato da applicazioni di sicurezza mobile apparentemente legittime. Tra i nomi sotto cui si presenta il malware troviamo titoli ingannevoli come APP Protection, Antivirus Cleanup e SICUREZZA WEB. Questo approccio ha come obiettivo fondamentale convincere gli utenti a scaricare il malware nei loro dispositivi, sfruttando la fiducia nella sicurezza informatica.
Un elemento particolarmente subdolo di BingoMod è l’uso dell’icona del noto strumento gratuito AVG AntiVirus & Security, reperibile su Google Play. Durante il processo di installazione, il malware richiede l’accesso ai Servizi di Accessibilità, come modo per ottenere un controllo approfondito del dispositivo. Questo passaggio consente a BingoMod di avviare una serie di attività malevole, incluso il furto di credenziali di accesso e la cattura di screenshot.
Una volta attivato, BingoMod stabilisce un canale basato su socket per ricevere comandi e un canale HTTP per inviare un feed di screenshot, consentendo un’operazione remota quasi in tempo reale. Questa sofisticata operazione avviene attraverso la tecnica di on-device fraud , che consente di avviare transazioni fraudolente direttamente dal dispositivo vittima, ingannando i sistemi anti-frode che si basano su verifiche dell’identità.
Secondo il rapporto di Cleafy, l’implementazione del VNC si avvale dell’Android Media Projection API per acquisire il contenuto dello schermo in tempo reale. Ogni comando inviato dagli operatori remoti può includere azioni come clic su aree specifiche, inserimento di testo in elementi di input e lancio di applicazioni. Questa funzionalità potenzia ulteriormente gli attacchi, consentendo ai criminali informatici di impersonare vittime e intrufolarsi nei loro conti bancari.
Una delle principali caratteristiche di BingoMod è la sua capacità di disabilitare le soluzioni di sicurezza installate sui dispositivi delle vittime. Attraverso comandi specifici, gli operatori possono rimuovere software di protezione o bloccare l’attività di applicazioni a loro scelta. Per ottenere un’ulteriore evasione da eventuali controlli, i creatori del malware hanno implementato tecniche di offuscamento del codice, ottenendo risultati positivi secondo i test effettuati su VirusTotal.
In casi estremi, se BingoMod è registrato come un’app di amministrazione del dispositivo, gli operatori possono impartire comandi remoti per cancellare completamente il sistema. Questa funzione, attivata soltanto dopo un trasferimento di dati riuscito, impatta solo la memoria esterna del dispositivo. Tuttavia, per un wipe più esteso, potrebbe esserci il bisogno di utilizzare la capacità di accesso remoto per eliminare dati in modo diretto e ripristinare il telefono dalle impostazioni di sistema.
Attualmente, la versione di BingoMod analizzata è la 1.5.1, e i ricercatori di Cleafy sottolineano che sembra trovarsi ancora in una fase di sviluppo iniziale. Commenti rinvenuti all’interno del codice suggeriscono l’ipotesi di un possibile sviluppatore originario dalla Romania, sebbene la collaborazione con altri sviluppatori di diverse nazioni non possa essere esclusa. Con un panorama di sicurezza in continua evoluzione, la lotta contro minacce come BingoMod è solo all’inizio, e l’attenzione del pubblico e dei professionisti della sicurezza rimane vitale per contenere questo tipo di frodi digitali.