Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер BankBot RAT

BankBot RAT

До Mezo през Мобилен зловреден софтуер, Инструменти за отдалечено администриранег
Превод на:

BankBot е мощен троянски кон за отдалечен достъп за Android, който след инсталиране може да поеме обширен контрол върху устройство. Той използва функциите за достъпност на Android, за да повишава привилегиите, да автоматизира действията в потребителския интерфейс, да събира чувствителна информация и да извършва неоторизирани операции, които могат да доведат до финансови измами, кражба на самоличност и внедряване на зловреден софтуер. Всяка потвърдена инфекция изисква незабавно отстраняване.

Стелт и профилиране на устройства

BankBot активно избягва анализа и е насочен само към избрани среди. Той извършва проверки на емулатори и пясъчник, проверява атрибутите на устройствата (марка, модел, ROM) и настройва поведението си, така че да работи на избрани реални устройства, докато остава спящ или уклончив в лабораторни среди. Зловредният софтуер също така събира и регистрира телеметрия на устройствата – версия и сборка на Android, марка и модел, производител, хардуер и идентификатори на сборки, както и име на продукта – за да профилира целите и да пропуска неподдържани устройства.

Получаване на контрол: Злоупотреба с достъпност и мълчаливо упорство

Основна тактика е злоупотребата с услуги за достъпност. BankBot може да отвори настройките за достъпност и чрез социално инженерство да накара потребителя да активира злонамерена услуга за достъпност; с това разрешение той може да автоматизира кликвания, да въвежда текст, да активира други разрешения и да извършва действия без съгласието на потребителя. Може също така да получи права на администратор на устройството. За да оцелее при рестартиране и да поддържа дългосрочен достъп, зловредният софтуер планира повтаряща се задача (приблизително на всеки 30 секунди), която изисква мрежова свързаност и се изпълнява след рестартиране на устройството.

Възможности — Какво може да прави BankBot

Наборът от функции на BankBot му дава почти пълен контрол върху заразения телефон. Ключовите възможности включват: заглушаване на системния звук за потискане на известия (мелодии, известия, медийни файлове), показване на фалшиви подкани на цял екран (например „Проверка на лична информация“) за разсейване на жертвите, докато активира разрешенията, и тихо активиране на услуги и администраторски статус. Той може програмно да отваря или затваря приложения, да обновява екраните, да симулира докосвания и плъзгания, да отключва екрана, да контролира пренасочването на повиквания, да изпраща SMS съобщения, да инсталира или деинсталира APK файлове, да изтегля файлове, да прави снимки и екранни снимки, да скрива прозорци и да задава текст в полетата за въвеждане. Зловредният софтуер може също да чете клипборда на Android и да извлича съдържанието му – разкривайки пароли, seed фрази и други тайни – и да улавя контакти, SMS, списъци с инсталирани приложения, състояние на устройството и геолокация.

Насочени към банкиране и криптовалути — кои приложения са изложени на риск

BankBot получава инструкции от командно-контролен сървър, който предоставя списък с финансови и банкови приложения, които да атакува срещу кражба на идентификационни данни или измамни транзакции. Той също така е насочен специално към много портфейли с криптовалута, като автоматизира потребителските интерфейси на приложенията за портфейли чрез „Достъпност“, за да чете чувствителни артефакти, като например начални фрази, частни ключове или подробности за транзакциите. Примери за наблюдавани цели за портфейли включват:

  • AUTOS, Bitcoin, BitKeep, Блокчейн портфейл, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (крипто портфейл за Ethereum), TokenPocket, Trust Wallet, Valor.

Техники за измама и маскиране на приложения

За да намали подозренията, BankBot може да промени иконата и името си, за да се представи за легитимни услуги (например, представяйки се като Google News) и след това да отвори надеждно изглеждащо уеб съдържание в WebView. Тези козметични промени, комбинирани с фалшиви подкани, подобни на reCAPTCHA, или диалози за потвърждение на цял екран, се използват, за да подведат потребителите да предоставят разрешения или да взаимодействат с приложението, докато злонамерени действия се изпълняват във фонов режим.

Как потребителите обикновено попадат в BankBot

В много случаи жертвите сами инсталират BankBot, след като са били измамени. Често срещани пътища за заразяване включват:

  • Странично зареждане на APK файлове от контролирани от хакери сайтове или магазини на трети страни.
  • Фалшиви или злонамерени приложения, разпространявани чрез ненадеждни хранилища за приложения.
  • Инсталации или изтегляния от подвеждащи реклами и изскачащи прозорци на съмнителни сайтове.
  • Връзки в SMS, приложения за съобщения или фишинг имейли.

Социалното инженерство е от основно значение за разпространението: престъпниците измислят убедителни примамки, за да убедят потребителите да изтеглят и стартират зловредния софтуер.

Рискове и очаквано въздействие

Заразеното устройство може да претърпи поглъщане на акаунти, неоторизирани финансови транзакции, кражба на самоличност и загуба на поверителност. Комбинацията от злоупотреба с достъпността, тихо постоянство, профилиране на устройства и целенасочени атаки срещу банкови и крипто приложения прави BankBot особено опасен за потребители с финансови приложения или крипто портфейли на телефоните си.

Незабавни стъпки за ограничаване и възстановяване

  • Отмяна на подозрителни разрешения: премахване на разрешенията за достъпност и известия за неизвестни приложения и отмяна на правата на администратор на устройството.
  • Деинсталирайте злонамереното(ите) приложение(я) и изпълнете пълно сканиране с реномиран продукт за мобилна сигурност.
  • Променете паролите и активирайте многофакторно удостоверяване за финансови сметки и всички услуги, използвани на устройството — направете това от чисто устройство.
  • Свържете се с банки или доставчици на портфейли, ако подозирате измамна дейност и наблюдавайте акаунти за неоторизирани транзакции.
  • Ако са били разкрити начални фрази или частни ключове, преместете средствата към нови адреси на портфейли, чиито ключове са генерирани на чисто устройство.

    • Превенция

    Поддържайте операционната система и приложенията на устройството актуални, избягвайте странично зареждане на APK файлове или инсталиране на приложения от ненадеждни източници, деактивирайте автоматичното инсталиране от неизвестни източници, бъдете подозрителни към подканите, които ви молят да активирате функции за достъпност или администриране на устройството, и използвайте надежден продукт за мобилна сигурност, който може да открива и премахва троянски коне и рекламен софтуер. Обучете потребителите и служителите за тактиките на социалното инженерство, които улесняват страничното зареждане и предоставянето на разрешения.

    Резюме — Отнасяйте се към BankBot като към високорисков

    BankBot е скрит, богат на функции Android RAT, който съчетава злоупотреба с достъпността, проверки на средата, постоянни планирани задачи, автоматизация на потребителския интерфейс и целенасочена кражба на банкови и крипто активи. Поради потенциала си за сериозни финансови и поверителни вреди, всяка предполагаема инфекция трябва да се третира като спешна: премахнете зловредния софтуер, защитете акаунтите от чисто устройство и вземете превантивните стъпки по-горе, за да намалите бъдещото излагане на риск.

    Тенденция

    Тропическо разширение

    Потенциално нежелани програми, Похитители на браузъри
    Tropical Extension е част от съмнителен софтуер, който попадна под наблюдението на експерти по киберсигурност по време на тяхното разследване на подозрителни уебсайтове. Първоначално това е полезно...

    Unsfeths.com

    Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
    Киберпрестъпниците непрекъснато разработват нови начини за манипулиране на потребителите и използване на функциите на браузъра за злонамерени цели. Една такава измамна тактика включва фалшиви...

    Измама с нарушаване на сигурността на Trust Wallet

    Измамни уебсайтове
    Тъй като онлайн измамите продължават да се развиват, потребителите трябва да бъдат бдителни, когато навигират в интернет, особено когато работят с цифрови активи. Киберпрестъпниците непрекъснато...

    Най-гледан

    Зареждане...