BingoMod es un troyano de acceso remoto (RAT) diseñado para dispositivos Android que se oculta tras aplicaciones aparentemente legítimas. Como un RAT, BingoMod permite a los ciberdelincuentes controlar el dispositivo infectado desde una distancia. Una vez instalado, engaña al usuario para que le otorgue permisos especiales, lo que le permite al malware tomar control total del dispositivo. Su principal objetivo es realizar transferencias de dinero no autorizadas. Este malware puede registrar las teclas que presionas, interceptar mensajes y capturar lo que ves en la pantalla, todo sin que te des cuenta. Además, BingoMod puede borrar información del dispositivo y desactivar aplicaciones de seguridad para evitar su detección. Su distribución suele ocurrir a través de mensajes de texto fraudulentos, haciéndose pasar por actualizaciones o herramientas de seguridad. Para protegerte, es importante descargar aplicaciones solo de fuentes confiables, mantener tu dispositivo actualizado y usar un software de seguridad.

Funcionamiento

BingoMod es un sofisticado troyano de acceso remoto (RAT) para Android con capacidades avanzadas de control y monitoreo del dispositivo infectado. Su funcionamiento se puede desglosar en varias etapas técnicas:

  • Infiltración y Distribución

BingoMod se distribuye principalmente a través de campañas de smishing (phishing por SMS), donde se hace pasar por aplicaciones legítimas de seguridad o utilidades del sistema. Los mensajes de texto fraudulentos incluyen enlaces que descargan el APK malicioso al dispositivo de la víctima.

Instalación y Engaño

Una vez descargado, el APK de BingoMod se disfraza de una aplicación legítima y solicita permisos de Servicios de Accesibilidad. Presenta al usuario la impresión de que estos permisos son necesarios para el funcionamiento de la aplicación. Si el usuario concede estos permisos, el malware obtiene un control significativo sobre el dispositivo.

Ejecución y Control

Con los permisos de Servicios de Accesibilidad activados, BingoMod ejecuta su carga útil y establece un canal de comunicación con el servidor de comando y control (C2). El malware recopila información detallada del dispositivo, incluyendo datos del sistema y de las aplicaciones instaladas.

Funciones Maliciosas

BingoMod incluye una amplia gama de funciones maliciosas, tales como:

  • Keylogging: Registra las teclas presionadas por el usuario.
  • Interceptación de SMS: Captura y reenvía mensajes SMS al servidor C2.
  • Captura de Pantalla: Utiliza la API de proyección multimedia de Android para capturar contenido de la pantalla en tiempo real.
  • Monitoreo en Tiempo Real: Permite la visualización en tiempo real de la pantalla del dispositivo mediante una rutina similar a VNC.
  • Control Remoto Extenso: Incluye aproximadamente 40 funciones de control remoto, permitiendo a los atacantes interactuar con la pantalla, hacer clic en áreas específicas, escribir texto, abrir aplicaciones y realizar transferencias de dinero no autorizadas.
  • Ataques de Superposición: Puede crear ventanas falsas sobre aplicaciones legítimas para robar credenciales y otra información sensible.

Persistencia y Defensa

Para asegurar su persistencia en el dispositivo, BingoMod puede:

  • Desactivar Aplicaciones de Seguridad: Elimina o bloquea aplicaciones de seguridad para evitar su detección y eliminación.
  • Borrar Almacenamiento Externo: Tiene la capacidad de borrar de forma remota el almacenamiento externo del dispositivo después de cometer el fraude.
  • Ofuscación de Código: Emplea técnicas de ofuscación para dificultar su análisis y detección.

Impacto y consecuencias

1. Robo de Información Personal: BingoMod puede capturar una amplia variedad de datos personales del usuario, incluyendo:

  • Credenciales de Inicio de Sesión: A través de keylogging y capturas de pantalla, el malware obtiene nombres de usuario y contraseñas.
  • Mensajes Privados: Intercepta y reenvía mensajes SMS al servidor C2, lo que puede incluir códigos de autenticación de dos factores y comunicaciones sensibles.
  • Información de la Pantalla: Utiliza la API de proyección multimedia para capturar todo lo que aparece en la pantalla del dispositivo en tiempo real.

2. Transferencias Monetarias No Autorizadas: BingoMod está diseñado para realizar transacciones financieras sin el conocimiento del usuario. Utilizando sus capacidades de control remoto, los atacantes pueden:

  • Iniciar Transferencias de Dinero: Manipulan aplicaciones bancarias o de pago para transferir fondos a cuentas controladas por los atacantes.
  • Acceso a Aplicaciones Financieras: Bypass de medidas de seguridad y autenticación en aplicaciones financieras.

3. Disminución del Rendimiento del Dispositivo: El funcionamiento en segundo plano de BingoMod afecta significativamente el rendimiento del dispositivo, manifestándose en:

  • Consumo Elevado de Recursos: Aumento del uso de CPU y memoria, lo que ralentiza el dispositivo.
  • Consumo de Batería: La actividad continua y la comunicación con el servidor C2 drenan rápidamente la batería.
  • Aumento del Uso de Datos: La transferencia constante de datos al servidor C2 incrementa el consumo de datos móviles.

4. Desactivación y Eliminación de Aplicaciones de Seguridad: BingoMod puede desactivar o eliminar aplicaciones de seguridad instaladas en el dispositivo, lo que deja al usuario sin protección y:

  • Facilita la Persistencia del Malware: Impide que el malware sea detectado y eliminado.
  • Protección Inexistente: Expone el dispositivo a otras amenazas adicionales.

5. Modificación de la Configuración del Sistema: El malware puede realizar cambios en la configuración del dispositivo para asegurarse de que permanezca operativo, incluyendo:

  • Desactivación de Configuraciones de Seguridad: Cambia ajustes de seguridad para evitar su eliminación.
  • Revocación de Permisos: Altera permisos de aplicaciones y servicios para mantener el control.

6. Propagación a Otros Dispositivos: BingoMod puede utilizar el dispositivo comprometido para distribuirse a otros usuarios, ampliando su alcance mediante:

  • Envío de SMS Maliciosos: Utiliza la función de envío de SMS del dispositivo para propagar enlaces maliciosos a los contactos del usuario.
  • Distribución a Través de Redes Sociales y Mensajería: Aprovecha aplicaciones de mensajería y redes sociales para enviar enlaces comprometidos.

7. Eliminación de Datos: En su versión más destructiva, BingoMod puede borrar datos del dispositivo, resultando en:

  • Pérdida de Datos: Eliminación de información almacenada en el dispositivo, incluyendo archivos personales y documentos.
  • Restablecimiento de Fábrica: En casos extremos, puede restablecer el dispositivo a su configuración de fábrica, eliminando todos los datos y configuraciones del usuario.

8. Robo de Identidad: Con acceso a información personal y financiera, los atacantes pueden:

  • Suplantación de Identidad: Utilizar la información robada para hacerse pasar por la víctima en transacciones y comunicaciones.
  • Fraude Financiero: Realizar compras y transacciones fraudulentas utilizando los datos de la víctima.

Origen y motivación

BingoMod es un troyano de acceso remoto (RAT) para dispositivos Android, que se cree fue desarrollado por un grupo de ciberdelincuentes con base en Rumanía, aunque es posible que haya colaboraciones de otros países. La motivación principal detrás de BingoMod es financiera: los atacantes buscan realizar transferencias de dinero no autorizadas desde las cuentas bancarias de las víctimas y robar información personal y financiera para cometer fraudes adicionales. Utilizando técnicas de smishing para distribuir el malware y engañando a los usuarios para que otorguen permisos de accesibilidad, BingoMod logra establecer un control remoto extenso del dispositivo infectado, permitiendo a los atacantes maximizar sus ganancias mientras permanecen ocultos y evitan la detección.

Familias de malware