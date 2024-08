Grazie al lavoro degli specialisti di Cleafy è stato possibili individuare una nuova e temibile minaccia attiva nell’ambiente Android. Si tratta di BingoMod, ovvero un trojan capace di infiltrarsi sugli smartphone attraverso app provenienti da fonti non ufficiali per poi rubare qualunque tipo di dato sensibili all’utente.

Come spiegato nel rapporto che descrive il malware, questo è stato individuato per la prima volta lo scorso mese di maggio e da allora si è diffuso attraverso attacchi smishing o via false app antivirus.

Una volta che BingoMod ha accesso a uno smartphone Android, questo ottiene l’accesso ai servizi di accessibilità dello stesso, agendo a livello di permessi. Una volta che il dispositivo è totalmente nelle mani dei cybercriminali, il trojan esegue il payload che da il via all’infezione vera e propria.

Come agisce BingoMod e perché è così temuto dagli esperti?

Le potenzialità di BingoMod, così come quelle di agenti malevoli simili, sono a dir poco inquietanti. I ricercatori hanno spiegato come il trojan è in grado di intercettare SMS (per aggirare i sistemi di autenticazione a due fattori) e di acquisire screenshot a piacimento, ma anche di svolgere altre attività illecite e altamente pericolose per le potenziali vittime.

Nonostante ciò, l’obiettivo primario dei cybercriminali resta quello di sottrarre denaro alla vittima, dunque il furto di credenziali e la capacità di registrare le sequenze di tasti digitati dagli utenti restano il principale pericolo.

Altro comportamento evidenziato da Cleafy è ciò che avviene quanto i criminali informatici hanno ottenuto tutto ciò di cui avevano bisogno. A lavoro svolto, BingoMod cancella lo smartphone infettato. Tale comportamento è utile al malware per rendere più difficile la sua eventuale analisi forense.

Un ultimo particolare riguardante il trojan è la sua potenziale origine. Alcuni commenti presenti nel codice interno lasciano pensare che BingoMod sia gestito da cybercriminali romeni.