BingoMod, un nuovo insidioso malware Android. Ecco come proteggersi.

I ricercatori di sicurezza di Cleafy hanno recentemente scoperto un nuovo malware per Android, chiamato “BingoMod“, che si distingue per la sua capacità di svuotare i conti bancari delle vittime e successivamente cancellare i dati dai dispositivi infetti. Attualmente in fase di sviluppo attivo, BingoMod si diffonde attraverso campagne di smishing, una forma di phishing che utilizza i messaggi SMS per ingannare gli utenti.

BingoMod si presenta come un legittimo strumento di sicurezza mobile, adottando nomi come APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo e APKAppScudo. In un caso particolarmente audace, ha persino utilizzato l’icona del noto strumento AVG AntiVirus & Security, disponibile gratuitamente su Google Play.

Dopo l’installazione, BingoMod richiede l’accesso ai Servizi di Accessibilità, ottenendo così un controllo esteso sul dispositivo compromesso. Questo permette al malware di eseguire una serie di attività dannose, tra cui il furto di credenziali, l’acquisizione di screenshot e l’intercettazione di messaggi SMS. La caratteristica più insidiosa di BingoMod è la sua capacità di eseguire frodi direttamente sul dispositivo, aprendo un canale socket per la ricezione di comandi e un canale HTTP per inviare screenshot in tempo reale. Questo consente all’aggressore di operare sul dispositivo della vittima quasi in tempo reale, ingannando i sistemi anti-frode che si basano sulla verifica dell’identità e sull’autenticazione.

Gli aggressori possono inviare una vasta gamma di comandi a BingoMod: clic su specifiche aree dello schermo, inserimento di testo, avvio di app e attacchi overlay con notifiche fasulle. Inoltre, possono utilizzare gli SMS per diffondere ulteriormente il malware. L’aspetto più pericoloso di BingoMod è la sua capacità di neutralizzare le soluzioni di sicurezza presenti sul dispositivo o bloccare specifiche app scelte dall’aggressore. Il malware utilizza tecniche di offuscamento per ridurre la probabilità di rilevamento.

Inoltre, BingoMod può cancellare i contenuti dello smartphone su comando remoto, eliminando ogni traccia e indizio delle sue attività. Questa funzione viene solitamente eseguita dopo che gli aggressori hanno sfruttato il malware per accedere ai conti bancari o ai wallet di criptovalute delle vittime e trasferire denaro. Secondo Cleafy, gli aggressori tendono a cancellare solo la memoria esterna, anche se tecnicamente potrebbero riportare il telefono alle impostazioni di fabbrica.

BingoMod è attualmente alla versione 1.5.1 e sembra essere ancora nelle prime fasi del suo sviluppo. I ricercatori hanno notato nel codice del malware riferimenti a tre lingue: inglese, rumeno e italiano, suggerendo le aree di interesse degli aggressori. Commenti in rumeno nel codice indicano che BingoMod potrebbe essere il prodotto di uno sviluppatore rumeno.

Scritto da Michele Bellotti