BingoMod – Remote Access Trojaner kapert Ihr Online-Banking
BingoMod ist eine seit Mai 2024 bekannte Malware, welche sich auf mobilen Geräten ausgebreitet hat. Es handelt sich hierbei um einen Remote Access Trojan (RAT), der auf mobile Geräte mit Finanzdaten abzielt. Dabei wird On-Device-Fraud betrieben, um an Finanzdaten zu gelangen und mit einem sogenannten Geräte-Wipe – dem gezielten Löschen von Spuren und teilweise dem gesamten Gerät – an sein Ziel zu gelangen.
Wie erkennt man BingoMod?
BingoMod hat eine Vielzahl an Möglichkeiten, um sich auf dem Gerät zu tarnen und versucht dabei stetig unentdeckt zu bleiben. Die auffälligsten Eigenschaften der Software werden in den nachfolgenden Abschnitten detaillierter erläutert.
Ungewöhnliche Apps
BingoMod tarnt sich hierbei als ungewöhnliche Applikation oder teils auch als legitime Software, dabei gibt sie vor Teil der Sicherheitssoftware auf dem Gerät zu sein. In einigen Fällen hat sich BingoMod auch der Logos legitimer Sicherheitssoftware bedient, um noch besser getarnt zu sein.
Anforderung von Berechtigungen
BingoMod fordert zudem erweiterte Berechtigungen auf dem Gerät, ähnlich wie andere ODF-Software. Ein Beispiel dafür ist TrickMo, das ebenfalls zusätzliche Berechtigungen anfordert. Beide Anwendungen verlangen Zugriff auf die Accessibility Services, um tiefgreifende Kontrolle über das System zu erlangen und ihre bösartigen Aktivitäten zu verbergen.
Dadurch möchte die Software tiefgreifenden Zugriff auf Android-Systeme erhalten, wodurch nicht nur Systemeinstellungen eigenständig durch die Software verändert werden können, sondern das System nahezu vollständig unter der Kontrolle der Angreifer ist.
Leistungseinbußen
Wie in vielen Fällen, sind eine besondere Auffälligkeit beim Befall mit einer Schadsoftware auf einem mobilen Gerät die Leistungseinbußen bei der Verwendung des Gerätes. Hierbei kann es nicht nur zu einem langsameren Betrieb bei der Nutzung kommen, sondern auch zur Überhitzung der Geräte bis hin zum Absturz.
Finanzielle Aktivitäten
Besonders im Fokus dieser Software (bzw. der Auswirkungen durch diese) stehen finanzielle Transaktionen. Die Applikation verschafft sich durch das Abfangen von Tokens bzw. den direkten Zugriff auf Banking-Software Zugang zu Konten und die Möglichkeit Transaktionen eigenständig durchzuführen, ohne dass der Benutzer dies direkt merkt.
Daten- und Geräte-Wipe
Eine weitere Funktion von BingoMod, die besonders auffällig und sehr invasiv in das System des Benutzers eingreift, ist das Wipen (auch: löschen) von Daten, seien es vereinzelte Dateien oder ganze Blöcke auf dem Gerät. So ist dies ein eindeutiger Indikator dafür, dass eine Software auf dem System vorliegt, die nicht auf diesem Gerät installiert sein sollte.
Funktionsweise der Schadsoftware
BingoMod weist einige Funktionsweisen auf, die besonders hervorgehoben werden sollten, um aufzuzeigen, welche Gefahr tatsächlich von einer solchen Software ausgehen kann.
Infektionsweg
Die häufigste Infektion erfolgt über Smishing, dabei wird dem Benutzer suggeriert, er solle eine neue Sicherheitssoftware auf dem Smartphone installieren, ggf. durch gefälschte Apps in nicht offiziellen App-Stores.
Zugriffsrechte
Nach der Installation möchte BingoMod weitgreifende Rechte, dies schließt jedoch nicht nur die Accessibility Services ein: Die App fordert teils auch direkten Zugriff auf SMS-Nachrichten zum Abfangen von Tokens sowie den direkten Zugriff auf identifizierte Banking-Apps.
Overlay-Angriffe
Bei einem Overlay-Angriff wird dem Benutzer eine täuschend echte Oberfläche angezeigt, die den Benutzer dazu verleiten soll, legitime Passwörter oder Daten in einer Umgebung einzugeben, die dem Angreifer direkt gehört, wodurch die Daten direkt vom Benutzer selbst entwendet werden.
Fernsteuerung
Natürlich wäre es kein Remote Access Trojan ohne die Fernsteuerung, dabei haben die Angreifer oftmals einen direkten Zugriff auf die Benutzeroberfläche oder können genau das sehen, was der Benutzer selbst auch sieht.
Hierüber hat der Angreifer nahezu keine Einschränkungen was die Bedienung des Smartphones betrifft. In einigen Fällen ließen sich in der Vergangenheit durch die Angreifer das Display auch „ausschalten“ für den Benutzer und im Hintergrund wurden weitere Aktionen durchgeführt.
Hintergrund und Zugehörigkeit
Es gibt keine klaren Informationen zur Zugehörigkeit der Software, jedoch waren in der Vergangenheit vor allem Benutzer betroffen, die ihre Gerätesprache auf Englisch, Rumänisch oder Italienisch eingestellt hatten.
Die Software nutzt verschiedene Obfuskierungstechniken, um ihre wahre Funktion zu verbergen, was sowohl Benutzer als auch Sicherheitsforscher vor Herausforderungen stellt. Sie weist Parallelen zu anderer Schadsoftware wie der Brata-Malware auf, die ebenfalls auf Finanzbetrug abzielt.
Trotz unterschiedlicher Einzelheiten verfolgen all diese Applikationen dasselbe Ziel: Die Infektion von Benutzergeräten, um sensible Daten zu entwenden und zu zerstören.
Obfuskierungstechniken:
- Verbergen den eigentlichen Nutzen der Software
- Erschweren die Analyse für Sicherheitsforscher
Parallelen zu anderer Malware:
- Ziel: Finanzbetrug und Datendiebstahl
- Ähnlichkeit zur Brata-Malware
Empfehlungen zur Prävention:
- Regelmäßige Überprüfung von Geräten auf unerwünschte Apps und Berechtigungen
- Nutzung nur legitimer App-Stores
- Sorgfältige Prüfung von Links und URLs vor der Eingabe sensibler Daten
Mehr Informationen zur Vermeidung solcher Betrugsfälle finden Sie in unserem Beitrag zu Spyware.
FAQ – häufig gestellte Fragen zu BingoMod
Was ist BingoMod und wie funktioniert es?
BingoMod ist eine Malware, die als Remote Access Trojan (RAT) gezielt mobile Geräte mit Finanzdaten angreift. Sie nutzt On-Device-Fraud-Techniken und kann Spuren oder das gesamte Gerät löschen, um unerkannt zu operieren.
Wie kann ich erkennen, ob mein Gerät von BingoMod betroffen ist?
Anzeichen für BingoMod sind ungewöhnliche Apps, die erweiterte Berechtigungen fordern, sowie Leistungseinbußen und unautorisierte finanzielle Aktivitäten. Ein Datenwipen kann ebenfalls auf die Präsenz von BingoMod hinweisen.
Wie infiziert sich ein Gerät mit BingoMod?
Die Infektion erfolgt häufig über Smishing, bei dem gefälschte Apps aus nicht offiziellen App-Stores installiert werden. BingoMod fordert nach der Installation umfassende Zugriffsrechte, um volle Kontrolle zu erlangen.
Weitere spannende Beiträge
-
- News
Cyberangriff – was tun? Die wichtigsten Schritte im Überblick
Zum BeitragCyberbedrohungen haben sich in den letzten Jahren dramatisch verschärft. Cyberangriffe nehmen rasant zu, und treffen Unternehmen aller Größenordnungen. Studien zeigen, dass inzwischen fast jedes Unternehmen in Deutschland Zielscheibe von Cyberkriminellen geworden ist. Wenn Ihr Unternehmen betroffen ist, zählt jede Minute. Hier erfahren Sie, was bei einem Cyberangriff zu tun ist. Wir zeigen, was bei einem […]
-
- News
Cyberangriffe schnell abwehren – mit einem Incident Response Retainer
Zum BeitragIn der heutigen digital vernetzten Welt sind Cyberangriffe eine allgegenwärtige Bedrohung für Unternehmen aller Größenordnungen. Ein Plan für den Notfall, ein sogenannter Incident Response Retainer, bietet eine Lösung, die Unternehmen im Ernstfall schnelle und effektive Unterstützung ermöglicht. Dieser Artikel erklärt, wie ein Incident Response Retainer Ihr Unternehmen schützen kann. Was ist ein Incident Response Retainer? […]
-
- News
Conditional Access: Sicherheit durch Zugriffsbeschränkungen
Zum BeitragIn der heutigen Zeit schwebt über vielen Unternehmen die ständige Bedrohung, Ziel eines Angriffs auf ihre digitale Infrastruktur zu werden – ähnlich einem Damoklesschwert. Es gibt verschiedene Maßnahmen, um sich gegen solche Angriffe zu schützen. Eine besonders effektive Methode ist der „Bedingte Zugriff“, auch als „Conditional Access“ bekannt. Dieser Ansatz soll in diesem Beitrag genauer erläutert […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
