Imagina despertarte un día y descubrir que tu cuenta bancaria ha sido vaciada y todos tus datos personales han desaparecido de tu teléfono. Este escenario aterrador es exactamente lo que puede ocurrir con el nuevo malware para Android conocido como BingoMod. Este sofisticado programa malicioso no solo se infiltra en tu dispositivo para robar tu dinero, sino que también borra todos tus datos, dejándote sin rastro de tus archivos importantes.
¿Cómo se Propaga BingoMod?
BingoMod se distribuye principalmente mediante mensajes de texto que contienen enlaces a sitios web fraudulentos. Estos mensajes, diseñados para parecer comunicaciones legítimas de bancos u otros servicios financieros, instan al usuario a descargar una aplicación de seguridad para proteger su dispositivo de amenazas. Sin embargo, al hacer clic en el enlace y descargar la aplicación, los usuarios instalan inadvertidamente el malware en sus dispositivos Android.
Una vez instalado, BingoMod comienza a operar silenciosamente en segundo plano. Este malware sofisticado tiene la capacidad de acceder a información sensible almacenada en el dispositivo, incluyendo credenciales de banca en línea y detalles de tarjetas de crédito. Utilizando estos datos, puede realizar transacciones fraudulentas, robando hasta 15.000 EUR por cada operación sin que el usuario se dé cuenta de inmediato.
Según investigadores, este malware se encuentra en una fase de desarrollo activo. Su autor está trabajando continuamente para mejorar las capacidades del software malicioso, enfocándose en añadir ofuscación de código y diversos mecanismos de evasión. Estas técnicas avanzadas dificultan la detección del malware por parte de los sistemas de seguridad tradicionales, aumentando su efectividad y peligrosidad.
Te podrá interesar leer: Conoce a Mandrake: El Spyware para Android en Google Play Desde 2022
Detalles de BingoMod
Investigadores han descubierto que BingoMod se distribuye a través de campañas de smishing (phishing por SMS) y utiliza varios nombres que suelen sugerir una herramienta de seguridad móvil. Entre estos nombres se encuentran APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo y APKAppScudo.
En uno de los casos, el malware usa el ícono de la herramienta gratuita AVG AntiVirus & Security disponible en Google Play. Durante la instalación, el malware solicita permiso para utilizar los Servicios de Accesibilidad, los cuales proporcionan funciones avanzadas que permiten un amplio control del dispositivo. Una vez activo, BingoMod roba cualquier credencial de inicio de sesión, toma capturas de pantalla e intercepta mensajes SMS.
Para realizar fraudes en el dispositivo (ODF), el malware establece un canal basado en socket para recibir comandos y un canal basado en HTTP para enviar una serie de capturas de pantalla, permitiendo una operación remota casi en tiempo real.
Método de comunicación en red virtual (VNC) y transferencia de información.
Conoce más sobre: ¿Cuál es Mejor para tu Seguridad? EDR vs MDR
Transacciones Fraudulentas y Técnica de ODF
ODF es una técnica comúnmente utilizada para iniciar transacciones fraudulentas desde el dispositivo de la víctima, engañando a los sistemas antifraude estándar que dependen de la verificación y autenticación de la identidad.
Un informe reciente de investigadores de Cleafy explica que la "rutina VNC abusa de la API Media Projection de Android para obtener contenido de pantalla en tiempo real. Una vez recibido, este se transforma en un formato adecuado y se transmite a través de HTTP a la infraestructura de los actores de amenazas".
Una característica notable de esta rutina es que puede aprovechar los servicios de accesibilidad "para hacerse pasar por el usuario y habilitar la solicitud de captura de pantalla, expuesta por la API de proyección de medios".
Ruta VNC de BingoMod
Los operadores remotos de BingoMod pueden enviar comandos para hacer clic en áreas específicas, escribir texto en campos designados y lanzar aplicaciones.
El malware también permite realizar ataques manuales mediante notificaciones falsas iniciadas por el atacante. Además, un dispositivo infectado con BingoMod podría utilizarse para seguir propagando el malware a través de SMS.
Conoce más sobre: Prevención: 5 Tácticas de Hackeo Bancario y Soluciones
Desactivación de Defensas y Borrado de Datos
BingoMod tiene la capacidad de eliminar soluciones de seguridad del dispositivo de la víctima o bloquear la actividad de aplicaciones específicas según lo indicado por los comandos del atacante. Para evadir la detección, los creadores del malware han añadido capas de aplanamiento de código y ofuscación de cadenas, logrando así su objetivo, según los resultados del análisis de VirusTotal.
Si el malware está registrado en el dispositivo como una aplicación de administración, el operador puede enviar un comando remoto para borrar el sistema. Esta función se ejecuta solo después de una transferencia exitosa y afecta únicamente al almacenamiento externo.
Para realizar un borrado completo, el atacante puede utilizar la capacidad de acceso remoto para eliminar todos los datos y restablecer el teléfono desde la configuración del sistema. Aunque BingoMod se encuentra actualmente en la versión 1.5.1, parece estar en una etapa temprana de desarrollo.
Basándose en los comentarios del código, los investigadores creen que BingoMod podría ser obra de un desarrollador rumano. Sin embargo, también es posible que contribuyan desarrolladores de otros países.
Conclusión
BingoMod es un recordatorio de que las amenazas cibernéticas están en constante evolución y se vuelven cada vez más sofisticadas. Aunque se presenta como una herramienta de seguridad móvil legítima, su verdadero objetivo es robar grandes sumas de dinero y eliminar datos valiosos. Al mantenerse informado y adoptar prácticas seguras, puedes protegerte de este y otros tipos de malware. La ciberseguridad es una responsabilidad compartida, y estar alerta es la mejor defensa contra las crecientes amenazas digitales.