セキュリティ企業のCleafyは7月31日(現地時間)、「BingoMod: The new android RAT that steals money and wipes data|Cleafy Labs」において、2024年5月に発見された新しいAndroid向けバンキングマルウェア「BingoMod」の分析結果を伝えた。BingoModは標的の銀行口座から金銭を窃取したのち、データを消去できるという。
バンキングマルウェア「BingoMod」の概要
Cleafyの調査によると、BingoModは主にスミッシングキャンペーンを通じてセキュリティソリューションに偽装して配布されるという。偽装するセキュリティソリューションとしては、APP Protection、Antivirus Cleanup、Chrome Update、InfoWeb、SicurezzaWeb、WebSecurity、WebsInfo、WebInfo、APKAppScudoなどが確認されている。
ユーザーがインストールを開始すると、BingoModはアクセシビリティ権限の許可を要求する。ユーザーが許可するとデバイス情報を窃取し、コマンド&コントロール(C2: Command and Control)サーバとの接続を確立する。
次に、キーロギングおよびSMS(Short Message Service:ショートメッセージサービス)のメッセージから金融機関の認証情報や残高などを収集する。最後に、デバイス内詐欺(ODF: On-Device Fraud)による送金を可能にするため、Media Projection APIを悪用したVNC(Virtual Network Computing)に近いインタフェースを攻撃者に提供する。
このようにして金融詐欺に必要な情報を収集し、デバイスの遠隔操作を可能にすると、攻撃者はデバイスから送金を開始する。このとき、金融機関の検出を回避するため、1回の送金額を最大15,000ユーロに制限するという。
さらなる進化
BingoModはセキュリティソリューションの検出を回避するため、現在は難読化に重点を置いて開発中とされる。Cleafyはその様子から開発者はルーマニア語を話す人物で、高度な技術力はなく経験も浅いと推測している。また、自動化コンポーネントも不足しているため、他の高度なマルウェアと比較して攻撃を検出できる可能性は高いと指摘されている。
Cleafyは現在のBingoModを開発の初期段階のマルウェアと結論づけている。当面は機能よりもセキュリティソリューションの検出率を下げる努力を継続するとみられるが、進化の方向性は予測できないとみられている。最後に、Cleafyは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。