Onderzoekers hebben Android-malware ontdekt die geld van bankrekeningen steelt en daarna de telefoon reset, om zo forensisch onderzoek te bemoeilijken. Eenmaal actief op een toestel kan de BingoMod-malware via verschillende persmissies gevoelige informatie stelen, waaronder inloggegevens, sms-berichten en informatie over het saldo op de bankrekening. Dat laat securitybedrijf Cleafy in een analyse weten.

Om het geld van de rekening te stelen maken de aanvallers gebruik van een VNC-achtige functionaliteit die de malware biedt. Hierdoor vindt de fraude direct vanaf de telefoon van het slachtoffer plaats, om zo de beveiligingsmaatregelen van de bank te omzeilen. Deze techniek wordt On Device Fraud (ODF) genoemd. Om de malware te verspreiden maken de aanvallers gebruik van de sms-berichten, waarbij de malware wordt aangeboden als virusscanner.

Zodra gebruikers de app installeren wordt gevraagd om toegang tot de Accessibility Service, wat nodig zou zijn voor het functioneren van de app. Wanneer de gebruiker deze permissie verleent wordt de malware uitgevoerd. De malware zal daarna gevoelige informatie stelen die op het scherm verschijnt of door de gebruiker wordt ingevoerd, zoals inloggegevens en rekeningoverzichten. Daarnaast monitort de malware inkomende sms-berichten, om zo berichten van de bank met authenticatiecodes te onderscheppen.

Met de gestolen informatie kunnen de aanvallers, via de VNC-achtige functionaliteit, direct vanaf het toestel inloggen op de bankrekening en frauduleuze transacties uitvoeren. Is het geld gestolen dan kan de malware via een commando van de aanvallers de externe opslag wissen. Via de remote access functionaliteit voeren de aanvallers vervolgens een volledige reset van de telefoon uit, zodat er geen sporen van de malware achterblijven.