Setelah aktif, BingoMod mencuri kredensial login apa pun, mengambil tangkapan layar, dan membaca pesan SMS.
Untuk melakukan on device fraud (ODF) atau penipuan dalam perangkat, malware membuat saluran berbasis soket untuk menerima perintah dan saluran berbasis HTTP untuk mengirim umpan tangkapan layar, sehingga memungkinkan operasi jarak jauh yang hampir real-time.
ODF adalah teknik umum yang digunakan untuk memulai kejahatan transaksi dari perangkat korban, yang mengelabui sistem anti-penipuan standar yang mengandalkan verifikasi dan otentikasi identitas.
Para peneliti Cleafy menjelaskan aktivitas Virtual Network Computing (VNC) menyalahgunakan API Proyeksi Media Android untuk mendapatkan konten layar secara real-time.
Setelah diterima, konten tersebut diubah ke dalam format yang sesuai dan ditransmisikan melalui HTTP ke infrastruktur penjahat siber atau threat actor.
Salah satu fitur dari aktivitas ini adalah dapat memanfaatkan Layanan Aksesibilitas untuk meniru pengguna dan mengaktifkan permintaan screen-casting, yang diekspos oleh API Proyeksi Media.
Perintah yang dapat dikirim oleh operator jarak jauh ke BingoMod termasuk mengklik area tertentu, menulis teks pada elemen input tertentu, dan meluncurkan aplikasi.
Malware ini juga memungkinkan serangan overlay manual melalui pemberitahuan palsu yang diprakarsai oleh penjahat siber. Selain itu, perangkat yang terinfeksi BingoMod juga dapat digunakan untuk menyebarkan malware lebih lanjut melalui SMS.
