BingoMod – Remote Access Trojaner kapert Ihr Online-Banking
BingoMod ist eine seit Mai 2024 bekannte Malware, welche sich auf mobilen Geräten ausgebreitet hat. Es handelt sich hierbei um einen Remote Access Trojan (RAT), der auf mobile Geräte mit Finanzdaten abzielt. Dabei wird On-Device-Fraud betrieben, um an Finanzdaten zu gelangen und mit einem sogenannten Geräte-Wipe – dem gezielten Löschen von Spuren und teilweise dem gesamten Gerät – an sein Ziel zu gelangen.
Wie erkennt man BingoMod?
BingoMod hat eine Vielzahl an Möglichkeiten, um sich auf dem Gerät zu tarnen und versucht dabei stetig unentdeckt zu bleiben. Die auffälligsten Eigenschaften der Software werden in den nachfolgenden Abschnitten detaillierter erläutert.
Ungewöhnliche Apps
BingoMod tarnt sich hierbei als ungewöhnliche Applikation oder teils auch als legitime Software, dabei gibt sie vor Teil der Sicherheitssoftware auf dem Gerät zu sein. In einigen Fällen hat sich BingoMod auch der Logos legitimer Sicherheitssoftware bedient, um noch besser getarnt zu sein.
Anforderung von Berechtigungen
BingoMod fordert zudem erweiterte Berechtigungen auf dem Gerät, ähnlich wie andere ODF-Software. Ein Beispiel dafür ist TrickMo, das ebenfalls zusätzliche Berechtigungen anfordert. Beide Anwendungen verlangen Zugriff auf die Accessibility Services, um tiefgreifende Kontrolle über das System zu erlangen und ihre bösartigen Aktivitäten zu verbergen.
Dadurch möchte die Software tiefgreifenden Zugriff auf Android-Systeme erhalten, wodurch nicht nur Systemeinstellungen eigenständig durch die Software verändert werden können, sondern das System nahezu vollständig unter der Kontrolle der Angreifer ist.
Leistungseinbußen
Wie in vielen Fällen, sind eine besondere Auffälligkeit beim Befall mit einer Schadsoftware auf einem mobilen Gerät die Leistungseinbußen bei der Verwendung des Gerätes. Hierbei kann es nicht nur zu einem langsameren Betrieb bei der Nutzung kommen, sondern auch zur Überhitzung der Geräte bis hin zum Absturz.
Finanzielle Aktivitäten
Besonders im Fokus dieser Software (bzw. der Auswirkungen durch diese) stehen finanzielle Transaktionen. Die Applikation verschafft sich durch das Abfangen von Tokens bzw. den direkten Zugriff auf Banking-Software Zugang zu Konten und die Möglichkeit Transaktionen eigenständig durchzuführen, ohne dass der Benutzer dies direkt merkt.
Daten- und Geräte-Wipe
Eine weitere Funktion von BingoMod, die besonders auffällig und sehr invasiv in das System des Benutzers eingreift, ist das Wipen (auch: löschen) von Daten, seien es vereinzelte Dateien oder ganze Blöcke auf dem Gerät. So ist dies ein eindeutiger Indikator dafür, dass eine Software auf dem System vorliegt, die nicht auf diesem Gerät installiert sein sollte.
Funktionsweise der Schadsoftware
BingoMod weist einige Funktionsweisen auf, die besonders hervorgehoben werden sollten, um aufzuzeigen, welche Gefahr tatsächlich von einer solchen Software ausgehen kann.
Infektionsweg
Die häufigste Infektion erfolgt über Smishing, dabei wird dem Benutzer suggeriert, er solle eine neue Sicherheitssoftware auf dem Smartphone installieren, ggf. durch gefälschte Apps in nicht offiziellen App-Stores.
Zugriffsrechte
Nach der Installation möchte BingoMod weitgreifende Rechte, dies schließt jedoch nicht nur die Accessibility Services ein: Die App fordert teils auch direkten Zugriff auf SMS-Nachrichten zum Abfangen von Tokens sowie den direkten Zugriff auf identifizierte Banking-Apps.
Overlay-Angriffe
Bei einem Overlay-Angriff wird dem Benutzer eine täuschend echte Oberfläche angezeigt, die den Benutzer dazu verleiten soll, legitime Passwörter oder Daten in einer Umgebung einzugeben, die dem Angreifer direkt gehört, wodurch die Daten direkt vom Benutzer selbst entwendet werden.
Fernsteuerung
Natürlich wäre es kein Remote Access Trojan ohne die Fernsteuerung, dabei haben die Angreifer oftmals einen direkten Zugriff auf die Benutzeroberfläche oder können genau das sehen, was der Benutzer selbst auch sieht.
Hierüber hat der Angreifer nahezu keine Einschränkungen was die Bedienung des Smartphones betrifft. In einigen Fällen ließen sich in der Vergangenheit durch die Angreifer das Display auch „ausschalten“ für den Benutzer und im Hintergrund wurden weitere Aktionen durchgeführt.
Hintergrund und Zugehörigkeit
Es gibt keine klaren Informationen zur Zugehörigkeit der Software, jedoch waren in der Vergangenheit vor allem Benutzer betroffen, die ihre Gerätesprache auf Englisch, Rumänisch oder Italienisch eingestellt hatten.
Die Software nutzt verschiedene Obfuskierungstechniken, um ihre wahre Funktion zu verbergen, was sowohl Benutzer als auch Sicherheitsforscher vor Herausforderungen stellt. Sie weist Parallelen zu anderer Schadsoftware wie der Brata-Malware auf, die ebenfalls auf Finanzbetrug abzielt.
Trotz unterschiedlicher Einzelheiten verfolgen all diese Applikationen dasselbe Ziel: Die Infektion von Benutzergeräten, um sensible Daten zu entwenden und zu zerstören.
Obfuskierungstechniken:
- Verbergen den eigentlichen Nutzen der Software
- Erschweren die Analyse für Sicherheitsforscher
Parallelen zu anderer Malware:
- Ziel: Finanzbetrug und Datendiebstahl
- Ähnlichkeit zur Brata-Malware
Empfehlungen zur Prävention:
- Regelmäßige Überprüfung von Geräten auf unerwünschte Apps und Berechtigungen
- Nutzung nur legitimer App-Stores
- Sorgfältige Prüfung von Links und URLs vor der Eingabe sensibler Daten
Mehr Informationen zur Vermeidung solcher Betrugsfälle finden Sie in unserem Beitrag zu Spyware.
FAQ – häufig gestellte Fragen zu BingoMod
Was ist BingoMod und wie funktioniert es?
BingoMod ist eine Malware, die als Remote Access Trojan (RAT) gezielt mobile Geräte mit Finanzdaten angreift. Sie nutzt On-Device-Fraud-Techniken und kann Spuren oder das gesamte Gerät löschen, um unerkannt zu operieren.
Wie kann ich erkennen, ob mein Gerät von BingoMod betroffen ist?
Anzeichen für BingoMod sind ungewöhnliche Apps, die erweiterte Berechtigungen fordern, sowie Leistungseinbußen und unautorisierte finanzielle Aktivitäten. Ein Datenwipen kann ebenfalls auf die Präsenz von BingoMod hinweisen.
Wie infiziert sich ein Gerät mit BingoMod?
Die Infektion erfolgt häufig über Smishing, bei dem gefälschte Apps aus nicht offiziellen App-Stores installiert werden. BingoMod fordert nach der Installation umfassende Zugriffsrechte, um volle Kontrolle zu erlangen.
Weitere spannende Beiträge
-
- News
Verborgene Spuren: Netzwerk-Forensik für Unternehmen
Zum BeitragNetzwerk-Forensik ist eine immer bedeutendere Disziplin in der digitalen Welt, die sich mit der Analyse von Netzwerkdaten beschäftigt, um Sicherheitsvorfälle zu untersuchen. Diese Praxis ist entscheidend, um die immer komplexer werdenden Cyberbedrohungen zu identifizieren, zu analysieren und zu verstehen. Angesichts der stetig wachsenden Anzahl und Vielfalt von Angriffen bietet die Netzwerk-Forensik Unternehmen die Möglichkeit, nicht […]
-
- News
IT-Services optimieren: Wie geht gutes Incident Management?
Zum BeitragIncident Management ist ein entscheidender Prozess im IT-Service-Management, um Betriebsunterbrechungen effizient zu identifizieren und beheben. Ein gut implementierter Incident Management Plan minimiert Ausfallzeiten und schützt die Produktivität. In diesem Artikel erfahren Sie, welche Vorteile ein durchdachtes Störungsmanagement bietet.
-
- News
Hackerangriff – was tun? So reagieren Sie richtig
Zum BeitragEin Hackerangriff trifft Unternehmen oft völlig unerwartet und kann innerhalb weniger Minuten massive Schäden verursachen. In solchen Situationen zählt jede Minute, denn je schneller Sie reagieren, desto besser lassen sich Schäden begrenzen. Sie sind von einem Hackerangriff betroffen und fragen sich, was zu tun ist? Wir bieten Ihnen konkrete Sofortmaßnahmen und einen klaren Handlungsplan für den Ernstfall.
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
