Jakarta – Sebuah malware anyar bernama BingoMod telah ditemukan menyerang perangkat Android, dengan kemampuan menguras rekening bank dan menghapus data ponsel. Malware ini disebarkan melalui pesan teks dan menyamar sebagai alat keamanan seluler yang sah. Dalam setiap transaksi, BingoMod dapat mencuri hingga 15.000 Euro atau sekitar Rp262 juta.
Menurut para peneliti yang menganalisisnya, BingoMod saat ini sedang dalam tahap pengembangan aktif. Pembuat malware ini fokus pada penambahan penyamaran kode dan berbagai mekanisme penghindaran untuk menurunkan tingkat deteksi. Para peneliti di Cleafy, sebuah solusi manajemen dan pencegahan penipuan online, melaporkan kepada BleepingComputer bahwa BingoMod didistribusikan melalui kampanye smishing (SMS phishing).
Malware ini menggunakan berbagai nama yang biasanya mengindikasikan alat keamanan seluler seperti APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, dan APKAppScudo. Dalam satu contoh, malware ini menggunakan ikon untuk alat AVG AntiVirus & Security gratis yang tersedia di Google Play.
Selama proses instalasi, malware meminta izin untuk menggunakan Layanan Aksesibilitas, yang menyediakan fitur-fitur canggih yang memungkinkan kontrol yang luas atas perangkat. Setelah aktif, BingoMod akan mencuri kredensial login apa pun, mengambil tangkapan layar, dan juga membaca pesan SMS.
Untuk melakukan on device fraud (ODF) atau penipuan dalam perangkat, malware ini membuat saluran berbasis soket untuk menerima perintah dan saluran berbasis HTTP untuk mengirim umpan tangkapan layar, sehingga memungkinkan operasi jarak jauh yang hampir real-time. ODF adalah teknik umum yang digunakan untuk memulai kejahatan transaksi dari perangkat korban, yang mengelabui sistem anti-penipuan standar yang mengandalkan verifikasi dan otentikasi identitas.
Para peneliti Cleafy menyatakan bahwa aktivitas Virtual Network Computing (VNC) menyalahgunakan API Proyeksi Media Android untuk mendapatkan konten layar secara real-time. Setelah diterima, konten tersebut diubah ke dalam format yang sesuai dan ditransmisikan melalui HTTP ke infrastruktur penjahat siber atau threat actor.
Salah satu fitur dari aktivitas ini adalah mampu memanfaatkan Layanan Aksesibilitas untuk meniru pengguna dan mengaktifkan permintaan screen-casting, yang diekspos oleh API Proyeksi Media. Perintah yang dapat dikirim oleh operator jarak jauh ke BingoMod termasuk mengklik area tertentu, menulis teks pada elemen input tertentu, dan meluncurkan aplikasi.
Malware ini juga memungkinkan serangan overlay manual melalui pemberitahuan palsu yang didalangi oleh penjahat siber. Selain itu, perangkat yang terinfeksi BingoMod juga dapat digunakan untuk menyebarkan malware lebih lanjut melalui SMS.