BingoMod: el troyano bancario fantasma cuya presencia ni siquiera notarás

Investigadores de ciberseguridad de la empresa italiana Cleafy descubrieron recientemente un nuevo troyano de acceso remoto (RAT) para Android llamado BingoMod, que no solo realiza transferencias fraudulentas de dinero desde dispositivos infectados, sino que también borra todos los rastros de su actividad, confundiendo completamente a sus víctimas.

El malware fue detectado a finales de mayo de este año y, al parecer, se encuentra en fase de desarrollo activo. Cleafy vincula BingoMod con criminales de habla rumana debido a la presencia de comentarios en rumano en el código fuente. Además, las primeras cargas del malware en VirusTotal también se realizaron desde Rumania. Es muy posible que los hackers estuvieran comprobando personalmente cuán invisible era su creación maliciosa para los sistemas de seguridad.

Los investigadores Alessandro Strino y Simone Mattia señalan que BingoMod pertenece a la generación moderna de troyanos móviles capaces de realizar tomas de cuentas (Account Takeover, ATO) directamente desde el dispositivo infectado, utilizando la técnica de fraude en el dispositivo (On-Device Fraud, ODF). Esta técnica también se ha utilizado en otros troyanos bancarios para Android, incluyendo Medusa, Copybara y TeaBot.

La característica distintiva de BingoMod, al igual que el malware Brata, es su mecanismo de autodestrucción diseñado para eliminar pruebas de actividades fraudulentas en el dispositivo infectado, lo que dificulta la realización de análisis forenses. Aunque esta función se limita al almacenamiento externo del dispositivo, los investigadores sospechan que las capacidades de acceso remoto podrían utilizarse para realizar un restablecimiento completo del dispositivo a la configuración de fábrica.

Algunas de las aplicaciones descubiertas que distribuyen BingoMod se disfrazan de programas antivirus y actualizaciones de Google Chrome. Tras la instalación, la aplicación solicita permiso para acceder a los servicios de accesibilidad de Android, utilizándolos para realizar acciones maliciosas.

La lista de acciones incluye la ejecución del código malicioso principal y el bloqueo del usuario de la pantalla principal para recopilar información sobre el dispositivo, que luego se envía a un servidor controlado por el atacante.

El programa también utiliza las API de los servicios de accesibilidad para robar información confidencial mostrada en la pantalla (por ejemplo, credenciales y saldos de cuentas bancarias), así como para obtener permiso para interceptar mensajes SMS.

Para iniciar transferencias de dinero directamente desde los dispositivos infectados, BingoMod establece una conexión con el servidor de comando para recibir hasta 40 comandos de forma remota, tomando capturas de pantalla utilizando la API de Media Projection e interactuando con el dispositivo en tiempo real. Esta técnica permite a un operador humano realizar transferencias de dinero de hasta 15.000 euros por transacción.

Además, los ciberdelincuentes prestan atención a evadir la detección mediante métodos de ofuscación de código y la capacidad de eliminar aplicaciones arbitrarias del dispositivo infectado.

BingoMod también tiene capacidades de phishing a través de ataques de superposición y notificaciones falsas, lo cual es bastante inusual, ya que los ataques no se superponen al abrir las aplicaciones objetivas, sino que son puestos en marcha directamente por el operador del malware.

La aparición de malware tan sofisticado como BingoMod subraya la necesidad de fortalecer las medidas de ciberseguridad en los dispositivos personales. Para protegerse contra tales amenazas, se recomienda:

• Instalar aplicaciones solo de tiendas oficiales;
• Ser crítico con las solicitudes de permisos, especialmente para los servicios de accesibilidad;
• Monitorear de cerca las transacciones bancarias e informar inmediatamente de cualquier actividad sospechosa al soporte de su banco.

Recuerde que la vigilancia y un escepticismo saludable son elementos clave de su seguridad digital.