BingoMod – Remote Access Trojaner kapert Ihr Online-Banking
BingoMod ist eine seit Mai 2024 bekannte Malware, welche sich auf mobilen Geräten ausgebreitet hat. Es handelt sich hierbei um einen Remote Access Trojan (RAT), der auf mobile Geräte mit Finanzdaten abzielt. Dabei wird On-Device-Fraud betrieben, um an Finanzdaten zu gelangen und mit einem sogenannten Geräte-Wipe – dem gezielten Löschen von Spuren und teilweise dem gesamten Gerät – an sein Ziel zu gelangen.
Wie erkennt man BingoMod?
BingoMod hat eine Vielzahl an Möglichkeiten, um sich auf dem Gerät zu tarnen und versucht dabei stetig unentdeckt zu bleiben. Die auffälligsten Eigenschaften der Software werden in den nachfolgenden Abschnitten detaillierter erläutert.
Ungewöhnliche Apps
BingoMod tarnt sich hierbei als ungewöhnliche Applikation oder teils auch als legitime Software, dabei gibt sie vor Teil der Sicherheitssoftware auf dem Gerät zu sein. In einigen Fällen hat sich BingoMod auch der Logos legitimer Sicherheitssoftware bedient, um noch besser getarnt zu sein.
Anforderung von Berechtigungen
BingoMod fordert zudem erweiterte Berechtigungen auf dem Gerät, ähnlich wie andere ODF-Software. Ein Beispiel dafür ist TrickMo, das ebenfalls zusätzliche Berechtigungen anfordert. Beide Anwendungen verlangen Zugriff auf die Accessibility Services, um tiefgreifende Kontrolle über das System zu erlangen und ihre bösartigen Aktivitäten zu verbergen.
Dadurch möchte die Software tiefgreifenden Zugriff auf Android-Systeme erhalten, wodurch nicht nur Systemeinstellungen eigenständig durch die Software verändert werden können, sondern das System nahezu vollständig unter der Kontrolle der Angreifer ist.
Leistungseinbußen
Wie in vielen Fällen, sind eine besondere Auffälligkeit beim Befall mit einer Schadsoftware auf einem mobilen Gerät die Leistungseinbußen bei der Verwendung des Gerätes. Hierbei kann es nicht nur zu einem langsameren Betrieb bei der Nutzung kommen, sondern auch zur Überhitzung der Geräte bis hin zum Absturz.
Finanzielle Aktivitäten
Besonders im Fokus dieser Software (bzw. der Auswirkungen durch diese) stehen finanzielle Transaktionen. Die Applikation verschafft sich durch das Abfangen von Tokens bzw. den direkten Zugriff auf Banking-Software Zugang zu Konten und die Möglichkeit Transaktionen eigenständig durchzuführen, ohne dass der Benutzer dies direkt merkt.
Daten- und Geräte-Wipe
Eine weitere Funktion von BingoMod, die besonders auffällig und sehr invasiv in das System des Benutzers eingreift, ist das Wipen (auch: löschen) von Daten, seien es vereinzelte Dateien oder ganze Blöcke auf dem Gerät. So ist dies ein eindeutiger Indikator dafür, dass eine Software auf dem System vorliegt, die nicht auf diesem Gerät installiert sein sollte.
Funktionsweise der Schadsoftware
BingoMod weist einige Funktionsweisen auf, die besonders hervorgehoben werden sollten, um aufzuzeigen, welche Gefahr tatsächlich von einer solchen Software ausgehen kann.
Infektionsweg
Die häufigste Infektion erfolgt über Smishing, dabei wird dem Benutzer suggeriert, er solle eine neue Sicherheitssoftware auf dem Smartphone installieren, ggf. durch gefälschte Apps in nicht offiziellen App-Stores.
Zugriffsrechte
Nach der Installation möchte BingoMod weitgreifende Rechte, dies schließt jedoch nicht nur die Accessibility Services ein: Die App fordert teils auch direkten Zugriff auf SMS-Nachrichten zum Abfangen von Tokens sowie den direkten Zugriff auf identifizierte Banking-Apps.
Overlay-Angriffe
Bei einem Overlay-Angriff wird dem Benutzer eine täuschend echte Oberfläche angezeigt, die den Benutzer dazu verleiten soll, legitime Passwörter oder Daten in einer Umgebung einzugeben, die dem Angreifer direkt gehört, wodurch die Daten direkt vom Benutzer selbst entwendet werden.
Fernsteuerung
Natürlich wäre es kein Remote Access Trojan ohne die Fernsteuerung, dabei haben die Angreifer oftmals einen direkten Zugriff auf die Benutzeroberfläche oder können genau das sehen, was der Benutzer selbst auch sieht.
Hierüber hat der Angreifer nahezu keine Einschränkungen was die Bedienung des Smartphones betrifft. In einigen Fällen ließen sich in der Vergangenheit durch die Angreifer das Display auch „ausschalten“ für den Benutzer und im Hintergrund wurden weitere Aktionen durchgeführt.
Hintergrund und Zugehörigkeit
Es gibt keine klaren Informationen zur Zugehörigkeit der Software, jedoch waren in der Vergangenheit vor allem Benutzer betroffen, die ihre Gerätesprache auf Englisch, Rumänisch oder Italienisch eingestellt hatten.
Die Software nutzt verschiedene Obfuskierungstechniken, um ihre wahre Funktion zu verbergen, was sowohl Benutzer als auch Sicherheitsforscher vor Herausforderungen stellt. Sie weist Parallelen zu anderer Schadsoftware wie der Brata-Malware auf, die ebenfalls auf Finanzbetrug abzielt.
Trotz unterschiedlicher Einzelheiten verfolgen all diese Applikationen dasselbe Ziel: Die Infektion von Benutzergeräten, um sensible Daten zu entwenden und zu zerstören.
Obfuskierungstechniken:
- Verbergen den eigentlichen Nutzen der Software
- Erschweren die Analyse für Sicherheitsforscher
Parallelen zu anderer Malware:
- Ziel: Finanzbetrug und Datendiebstahl
- Ähnlichkeit zur Brata-Malware
Empfehlungen zur Prävention:
- Regelmäßige Überprüfung von Geräten auf unerwünschte Apps und Berechtigungen
- Nutzung nur legitimer App-Stores
- Sorgfältige Prüfung von Links und URLs vor der Eingabe sensibler Daten
Mehr Informationen zur Vermeidung solcher Betrugsfälle finden Sie in unserem Beitrag zu Spyware.
FAQ – häufig gestellte Fragen zu BingoMod
Was ist BingoMod und wie funktioniert es?
BingoMod ist eine Malware, die als Remote Access Trojan (RAT) gezielt mobile Geräte mit Finanzdaten angreift. Sie nutzt On-Device-Fraud-Techniken und kann Spuren oder das gesamte Gerät löschen, um unerkannt zu operieren.
Wie kann ich erkennen, ob mein Gerät von BingoMod betroffen ist?
Anzeichen für BingoMod sind ungewöhnliche Apps, die erweiterte Berechtigungen fordern, sowie Leistungseinbußen und unautorisierte finanzielle Aktivitäten. Ein Datenwipen kann ebenfalls auf die Präsenz von BingoMod hinweisen.
Wie infiziert sich ein Gerät mit BingoMod?
Die Infektion erfolgt häufig über Smishing, bei dem gefälschte Apps aus nicht offiziellen App-Stores installiert werden. BingoMod fordert nach der Installation umfassende Zugriffsrechte, um volle Kontrolle zu erlangen.
Weitere spannende Beiträge
-
- News
Side-Channel Angriff: Auf Umwegen zu Ihren Daten
Heutzutage existieren viele Wege, über die Angreifer an vertrauliche Daten oder Passwörter gelangen können. In den meisten Fällen handelt es sich dabei um direkte Cyberangriffe, wie beispielsweise Malware, Brute-Force-Attacken oder Phishing. Es gibt jedoch eine weitere, auf den ersten Blick weniger auffällige Methode, die dennoch erhebliche Risiken birgt. Diese Methode wird als Side-Channel Angriff bezeichnet. […]
-
- News
Security Alerts: Wie Monitoring Systeme IT-Ausfälle verhindern
IT-Infrastrukturen laufen oft im 24/7-Betrieb und erfordern daher eine kontinuierliche Überwachung der Systemverfügbarkeit. Monitoringsysteme sind in der Lage, selbst definierte Anomalien zu erkennen und Alarmmeldungen, sogenannte Security Alerts, zu generieren, die die zuständigen Personen benachrichtigen. In diesem Artikel werden verschiedene Möglichkeiten vorgestellt, wie solche Alerts entstehen und wie sie dazu beitragen können, Cyberangriffe zu verhindern. […]
-
- News
Brute-Force-Angriff erkennen & abwehren – Tipps von Experten
Angriffe per Brute-Force sind nach wie vor eine gängige Methode, um unbefugten Zugang zu Systemen zu erlangen. Dies liegt zum Teil daran, dass die erforderliche Rechenleistung immer günstiger wird und zum anderen daran, dass viele Benutzer und Administratoren weiterhin unsichere Authentifizierungspraktiken anwenden. In diesem Artikel erläutern wir das Vorgehen von Angreifern und geben Tipps zur […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de