BankBot RAT

BankBot هو حصان طروادة قوي يعمل على نظام أندرويد، ويستهدف الوصول عن بُعد، وبمجرد تثبيته، يمكنه السيطرة على الجهاز بشكل كامل. ويستغل ميزات إمكانية الوصول في أندرويد لزيادة الصلاحيات، وأتمتة إجراءات واجهة المستخدم، وجمع المعلومات الحساسة، وتنفيذ عمليات غير مصرح بها قد تؤدي إلى الاحتيال المالي، وسرقة الهوية، ونشر البرامج الضارة. أي إصابة مؤكدة تتطلب علاجًا فوريًا.

التخفي وتحديد ملف تعريف الجهاز

يتجنب BankBot التحليلات بنشاط ويستهدف بيئات مختارة فقط. يُجري اختبارات على المُحاكيات وبيئة الحماية، ويفحص خصائص الجهاز (الماركة، الطراز، ذاكرة القراءة فقط)، ويُعدّل سلوكه ليعمل على أجهزة حقيقية مُختارة مع بقائه خاملاً أو مُراوغًا في بيئات المختبر. كما يجمع البرنامج الخبيث بيانات قياس الجهاز عن بُعد ويسجلها - إصدار Android وبنيته، والعلامة التجارية والطراز، والشركة المُصنِّعة، ومعرفات الأجهزة والبنية، واسم المنتج - لتحديد الأهداف وتخطي الأجهزة غير المدعومة.

اكتساب السيطرة: إساءة استخدام إمكانية الوصول والاستمرار الصامت

أحد الأساليب الأساسية هو إساءة استخدام خدمات إمكانية الوصول. يستطيع BankBot فتح إعدادات إمكانية الوصول وإجبار المستخدم على تفعيل خدمة إمكانية وصول ضارة؛ وبهذا الإذن، يمكنه أتمتة النقرات، وإدخال النصوص، وتفعيل أذونات أخرى، وتنفيذ إجراءات دون موافقة المستخدم. كما يمكنه الحصول على صلاحيات مسؤول الجهاز. وللحفاظ على استمرارية عمليات إعادة التشغيل والحفاظ على الوصول طويل الأمد، يُجدول البرنامج الخبيث مهمة متكررة (كل 30 ثانية تقريبًا) تتطلب اتصالاً بالشبكة وتستمر حتى بعد إعادة تشغيل الجهاز.

القدرات - ما يمكن لـ BankBot فعله

تمنح مجموعة ميزات BankBot تحكمًا شبه كامل في الهاتف المصاب. تشمل الميزات الرئيسية: كتم صوت النظام لإيقاف التنبيهات (نغمات الرنين، الإشعارات، الوسائط)، وعرض مطالبات وهمية بملء الشاشة (مثل "التحقق من المعلومات الشخصية") لتشتيت انتباه الضحايا أثناء تفعيل الأذونات، وتفعيل الخدمات وحالة المسؤول بصمت. يمكنه فتح التطبيقات أو إغلاقها برمجيًا، وتحديث الشاشات، ومحاكاة اللمسات والتمرير، وفتح قفل الشاشة، والتحكم في إعادة توجيه المكالمات، وإرسال الرسائل النصية القصيرة، وتثبيت ملفات APK أو إزالتها، وتنزيل الملفات، والتقاط الصور ولقطات الشاشة، وإخفاء النوافذ، وإضافة نص إلى حقول الإدخال. كما يمكن للبرنامج الخبيث قراءة حافظة نظام أندرويد واستخراج محتوياتها - كاشفًا كلمات المرور، والعبارات الأساسية، وغيرها من الأسرار - كما يلتقط جهات الاتصال، والرسائل النصية القصيرة، وقوائم التطبيقات المثبتة، وحالة الجهاز، والموقع الجغرافي.

استهداف الخدمات المصرفية والعملات المشفرة - ما هي التطبيقات المعرضة للخطر؟

يتلقى BankBot تعليمات من خادم تحكم وقيادة يُزوّده بقائمة من التطبيقات المالية والمصرفية لاستهدافها بسرقة بيانات الاعتماد أو المعاملات الاحتيالية. كما يستهدف بشكل خاص العديد من محافظ العملات المشفرة من خلال أتمتة واجهات مستخدم تطبيقات المحافظ عبر إمكانية الوصول لقراءة البيانات الحساسة، مثل العبارات الأولية أو المفاتيح الخاصة أو تفاصيل المعاملات. من أمثلة المحافظ المستهدفة التي تمت ملاحظتها:

• السيارات، بيتكوين، BitKeep، محفظة Blockchain، محفظة Coin98 Super، Coinomi، Exodus، imToken، Krystal، MetaMask، MeWallet، SafePal، Status (محفظة Ethereum Crypto)، TokenPocket، محفظة Trust، Valor.

تقنيات الخداع وإخفاء التطبيقات

لتقليل الشكوك، يستطيع BankBot تغيير أيقونته واسمه لانتحال هوية خدمات شرعية (مثل تقديم نفسه على أنه أخبار جوجل)، ثم فتح محتوى ويب يبدو موثوقًا داخل WebView. تُستخدم هذه التغييرات التجميلية، إلى جانب مطالبات وهمية شبيهة بـ reCAPTCHA أو مربعات حوار تحقق بملء الشاشة، لخداع المستخدمين وحثهم على منح الأذونات أو التفاعل مع التطبيق أثناء تشغيل إجراءات ضارة في الخلفية.

كيف يصل المستخدمون عادةً إلى BankBot

في كثير من الحالات، يُثبّت الضحايا BankBot بأنفسهم بعد خداعهم. تشمل طرق العدوى الشائعة ما يلي:

• تحميل ملفات APK من المواقع التي يسيطر عليها المهاجمون أو متاجر الطرف الثالث.
• التطبيقات المزيفة أو الضارة التي يتم توزيعها من خلال مستودعات التطبيقات غير الموثوق بها.
• التثبيتات أو التنزيلات من خلال الإعلانات الخادعة والنوافذ المنبثقة على المواقع المشبوهة.
• الروابط في الرسائل النصية القصيرة أو تطبيقات المراسلة أو رسائل البريد الإلكتروني الاحتيالية.

تلعب الهندسة الاجتماعية دورًا محوريًا في عملية التوزيع: حيث يقوم المجرمون بتصميم أساليب مقنعة لإقناع المستخدمين بتنزيل البرامج الضارة وتشغيلها.

المخاطر والتأثير المتوقع

قد يتعرض الجهاز المصاب لعمليات الاستيلاء على الحسابات، والمعاملات المالية غير المصرح بها، وسرقة الهويات، وفقدان الخصوصية. إن مزيجًا من إساءة استخدام إمكانية الوصول، والثبات الصامت، وتصنيف الجهاز، والهجمات الموجهة ضد التطبيقات المصرفية وتطبيقات العملات المشفرة، يجعل BankBot خطيرًا بشكل خاص على المستخدمين الذين لديهم تطبيقات مالية أو محافظ عملات مشفرة على هواتفهم.

خطوات الاحتواء والتعافي الفورية

• إلغاء الأذونات المشبوهة: إزالة أذونات الوصول والإشعارات للتطبيقات غير المعروفة وإلغاء حقوق مسؤول الجهاز.

• قم بإلغاء تثبيت التطبيقات الضارة وقم بإجراء فحص كامل باستخدام منتج أمان جوال حسن السمعة.

• قم بتغيير كلمات المرور وتمكين المصادقة متعددة العوامل للحسابات المالية وأي خدمات مستخدمة على الجهاز - قم بذلك من جهاز نظيف.

• اتصل بالبنوك أو مزودي المحافظ الإلكترونية إذا كنت تشك في وجود نشاط احتيالي وقم بمراقبة الحسابات بحثًا عن المعاملات غير المصرح بها.

• إذا تم الكشف عن عبارات البذور أو المفاتيح الخاصة، فقم بنقل الأموال إلى عناوين المحفظة الجديدة التي تم إنشاء مفاتيحها على جهاز نظيف.

وقاية

حافظ على تحديث نظام تشغيل جهازك وتطبيقاته، وتجنب تحميل ملفات APK من مصادر غير موثوقة، وعطّل التثبيت التلقائي من مصادر غير معروفة، وتوخَّ الحذر من الرسائل التي تطلب تفعيل ميزات إمكانية الوصول أو إدارة الجهاز، واستخدم منتج أمان جوال موثوقًا به يمكنه اكتشاف وإزالة أحصنة طروادة والبرامج الإعلانية. ثقّف المستخدمين والموظفين حول أساليب الهندسة الاجتماعية التي تُسهّل التحميل من مصادر غير موثوقة ومنح الأذونات.

ملخص - التعامل مع BankBot باعتباره عالي المخاطر

BankBot هو برنامج RAT خفيّ غنيّ بالميزات يعمل على نظام أندرويد، يجمع بين إساءة استخدام إمكانية الوصول، وفحص البيئة، والمهام المجدولة المستمرة، وأتمتة واجهة المستخدم، والسرقة المُستهدفة للأصول المصرفية والعملات المشفرة. نظرًا لاحتمالية تسببه في أضرار جسيمة على الصعيدين المالي والخصوصية، يجب التعامل مع أي إصابة مُشتبه بها على وجه السرعة: إزالة البرنامج الخبيث، وتأمين الحسابات من جهاز نظيف، واتخاذ الخطوات الوقائية المذكورة أعلاه للحد من التعرض المُستقبلي.