17.12.2024

BingoMod – Remote Access Trojaner kapert Ihr Online-Banking

BingoMod ist eine seit Mai 2024 bekannte Malware, welche sich auf mobilen Geräten ausgebreitet hat. Es handelt sich hierbei um einen Remote Access Trojan (RAT), der auf mobile Geräte mit Finanzdaten abzielt. Dabei wird On-Device-Fraud betrieben, um an Finanzdaten zu gelangen und mit einem sogenannten Geräte-Wipe – dem gezielten Löschen von Spuren und teilweise dem gesamten Gerät – an sein Ziel zu gelangen.

Wie erkennt man BingoMod?

BingoMod hat eine Vielzahl an Möglichkeiten, um sich auf dem Gerät zu tarnen und versucht dabei stetig unentdeckt zu bleiben. Die auffälligsten Eigenschaften der Software werden in den nachfolgenden Abschnitten detaillierter erläutert.

Ungewöhnliche Apps

BingoMod tarnt sich hierbei als ungewöhnliche Applikation oder teils auch als legitime Software, dabei gibt sie vor Teil der Sicherheitssoftware auf dem Gerät zu sein. In einigen Fällen hat sich BingoMod auch der Logos legitimer Sicherheitssoftware bedient, um noch besser getarnt zu sein.

Anforderung von Berechtigungen

BingoMod fordert zudem erweiterte Berechtigungen auf dem Gerät, ähnlich wie andere ODF-Software. Ein Beispiel dafür ist TrickMo, das ebenfalls zusätzliche Berechtigungen anfordert. Beide Anwendungen verlangen Zugriff auf die Accessibility Services, um tiefgreifende Kontrolle über das System zu erlangen und ihre bösartigen Aktivitäten zu verbergen.

Dadurch möchte die Software tiefgreifenden Zugriff auf Android-Systeme erhalten, wodurch nicht nur Systemeinstellungen eigenständig durch die Software verändert werden können, sondern das System nahezu vollständig unter der Kontrolle der Angreifer ist.

Leistungseinbußen

Wie in vielen Fällen, sind eine besondere Auffälligkeit beim Befall mit einer Schadsoftware auf einem mobilen Gerät die Leistungseinbußen bei der Verwendung des Gerätes. Hierbei kann es nicht nur zu einem langsameren Betrieb bei der Nutzung kommen, sondern auch zur Überhitzung der Geräte bis hin zum Absturz.

Finanzielle Aktivitäten

Besonders im Fokus dieser Software (bzw. der Auswirkungen durch diese) stehen finanzielle Transaktionen. Die Applikation verschafft sich durch das Abfangen von Tokens bzw. den direkten Zugriff auf Banking-Software Zugang zu Konten und die Möglichkeit Transaktionen eigenständig durchzuführen, ohne dass der Benutzer dies direkt merkt.

Daten- und Geräte-Wipe

Eine weitere Funktion von BingoMod, die besonders auffällig und sehr invasiv in das System des Benutzers eingreift, ist das Wipen (auch: löschen) von Daten, seien es vereinzelte Dateien oder ganze Blöcke auf dem Gerät. So ist dies ein eindeutiger Indikator dafür, dass eine Software auf dem System vorliegt, die nicht auf diesem Gerät installiert sein sollte.

Funktionsweise der Schadsoftware

BingoMod weist einige Funktionsweisen auf, die besonders hervorgehoben werden sollten, um aufzuzeigen, welche Gefahr tatsächlich von einer solchen Software ausgehen kann.

Infektionsweg

Die häufigste Infektion erfolgt über Smishing, dabei wird dem Benutzer suggeriert, er solle eine neue Sicherheitssoftware auf dem Smartphone installieren, ggf. durch gefälschte Apps in nicht offiziellen App-Stores.

Zugriffsrechte

Nach der Installation möchte BingoMod weitgreifende Rechte, dies schließt jedoch nicht nur die Accessibility Services ein: Die App fordert teils auch direkten Zugriff auf SMS-Nachrichten zum Abfangen von Tokens sowie den direkten Zugriff auf identifizierte Banking-Apps. 

Overlay-Angriffe

Bei einem Overlay-Angriff wird dem Benutzer eine täuschend echte Oberfläche angezeigt, die den Benutzer dazu verleiten soll, legitime Passwörter oder Daten in einer Umgebung einzugeben, die dem Angreifer direkt gehört, wodurch die Daten direkt vom Benutzer selbst entwendet werden.

Fernsteuerung

Natürlich wäre es kein Remote Access Trojan ohne die Fernsteuerung, dabei haben die Angreifer oftmals einen direkten Zugriff auf die Benutzeroberfläche oder können genau das sehen, was der Benutzer selbst auch sieht. 

Hierüber hat der Angreifer nahezu keine Einschränkungen was die Bedienung des Smartphones betrifft. In einigen Fällen ließen sich in der Vergangenheit durch die Angreifer das Display auch „ausschalten“ für den Benutzer und im Hintergrund wurden weitere Aktionen durchgeführt.

Hintergrund und Zugehörigkeit

Es gibt keine klaren Informationen zur Zugehörigkeit der Software, jedoch waren in der Vergangenheit vor allem Benutzer betroffen, die ihre Gerätesprache auf Englisch, Rumänisch oder Italienisch eingestellt hatten. 

Die Software nutzt verschiedene Obfuskierungstechniken, um ihre wahre Funktion zu verbergen, was sowohl Benutzer als auch Sicherheitsforscher vor Herausforderungen stellt. Sie weist Parallelen zu anderer Schadsoftware wie der Brata-Malware auf, die ebenfalls auf Finanzbetrug abzielt. 

Trotz unterschiedlicher Einzelheiten verfolgen all diese Applikationen dasselbe Ziel: Die Infektion von Benutzergeräten, um sensible Daten zu entwenden und zu zerstören.

Obfuskierungstechniken:

  • Verbergen den eigentlichen Nutzen der Software
  • Erschweren die Analyse für Sicherheitsforscher

Parallelen zu anderer Malware:

  • Ziel: Finanzbetrug und Datendiebstahl
  • Ähnlichkeit zur Brata-Malware

Empfehlungen zur Prävention:

  • Regelmäßige Überprüfung von Geräten auf unerwünschte Apps und Berechtigungen
  • Nutzung nur legitimer App-Stores
  • Sorgfältige Prüfung von Links und URLs vor der Eingabe sensibler Daten

Mehr Informationen zur Vermeidung solcher Betrugsfälle finden Sie in unserem Beitrag zu Spyware.

FAQ – häufig gestellte Fragen zu BingoMod

Was ist BingoMod und wie funktioniert es?

BingoMod ist eine Malware, die als Remote Access Trojan (RAT) gezielt mobile Geräte mit Finanzdaten angreift. Sie nutzt On-Device-Fraud-Techniken und kann Spuren oder das gesamte Gerät löschen, um unerkannt zu operieren.

Wie kann ich erkennen, ob mein Gerät von BingoMod betroffen ist?

Anzeichen für BingoMod sind ungewöhnliche Apps, die erweiterte Berechtigungen fordern, sowie Leistungseinbußen und unautorisierte finanzielle Aktivitäten. Ein Datenwipen kann ebenfalls auf die Präsenz von BingoMod hinweisen.

Wie infiziert sich ein Gerät mit BingoMod?

Die Infektion erfolgt häufig über Smishing, bei dem gefälschte Apps aus nicht offiziellen App-Stores installiert werden. BingoMod fordert nach der Installation umfassende Zugriffsrechte, um volle Kontrolle zu erlangen.

Beitrag teilen
Zurück zu News

Weitere 
spannende Beiträge

Wir stehen Ihnen mit unserer Erfahrung zur Seite.

Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.

Joanna Lang-Recht

Head of IT Forensics

24/7 IT-Notfallhilfe

0180 622 124 6

20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf

Direkt Kontakt aufnehmen

page decor page decor page decor page decor