Pesquisadores de cibersegurança descobriram um novo trojan de acesso remoto (RAT) para Android chamado BingoMod, que realiza transferências fraudulentas de dinheiro a partir de dispositivos comprometidos e apaga os dispositivos para eliminar rastros do malware. O trojan Android foi atribuído a um grupo de ameaças romeno, devido à presença de comentários em romeno no código-fonte das versões iniciais. BingoMod pertence à geração moderna de RATs de malware móvel, pois suas capacidades de acesso remoto permitem que os atores de ameaças realizem Account Takeover diretamente do dispositivo infectado, explorando assim a técnica de fraude no dispositivo (On-Device Fraud – ODF).

Vale mencionar que essa técnica já foi observada em outros trojans bancários para Android, como Medusa (também conhecido como TangleBot). O BingoMod também se destaca por empregar um mecanismo de autodestruição, projetado para remover qualquer evidência de transferências fraudulentas no dispositivo infectado, dificultando a análise forense. Embora essa funcionalidade se limite ao armazenamento externo do dispositivo, suspeita-se que os recursos de acesso remoto possam ser usados para iniciar uma redefinição completa de fábrica.

Outro aspecto preocupante é o foco do ator de ameaças em evitar a detecção usando técnicas de ofuscação de código e a capacidade de desinstalar aplicativos arbitrários do dispositivo comprometido, indicando que os autores do malware estão priorizando a simplicidade em vez de recursos avançados.