Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil BankBot RAT

BankBot RAT

El Mezo el Programari maliciós mòbil, Eines d'administració remota
Traduir a:

BankBot és un potent troià d'accés remot per a Android que, un cop instal·lat, pot prendre un control ampli d'un dispositiu. Aprofita les funcions d'accessibilitat d'Android per augmentar privilegis, automatitzar accions de la interfície d'usuari, recopilar informació sensible i dur a terme operacions no autoritzades que poden conduir a frau financer, robatori d'identitat i implementació de programari maliciós. Qualsevol infecció confirmada requereix una solució immediata.

Furt i perfils de dispositius

BankBot evita activament l'anàlisi i només té com a objectiu els entorns seleccionats. Realitza comprovacions d'emulador i de sandbox, inspecciona els atributs del dispositiu (marca, model, ROM) i ajusta el seu comportament perquè s'executi en dispositius reals seleccionats mentre roman inactiu o evasiu en entorns de laboratori. El programari maliciós també recopila i registra la telemetria del dispositiu (versió i compilació d'Android, marca i model, fabricant, identificadors de maquinari i compilació, i nom del producte) per perfilar els objectius i ometre els dispositius no compatibles.

Guanyar control: abús d'accessibilitat i persistència silenciosa

Una tàctica principal és l'abús dels serveis d'accessibilitat. BankBot pot obrir la configuració d'accessibilitat i manipular socialment l'usuari perquè activi un servei d'accessibilitat maliciós; amb aquest permís, pot automatitzar clics, introduir text, habilitar altres permisos i realitzar accions sense el consentiment de l'usuari. També pot obtenir drets d'administrador del dispositiu. Per sobreviure als reinicis i mantenir l'accés a llarg termini, el programari maliciós programa una tasca recurrent (aproximadament cada 30 segons) que requereix connectivitat de xarxa i persisteix després de reiniciar el dispositiu.

Capacitats — Què pot fer BankBot

El conjunt de funcions de BankBot li dóna un control gairebé complet d'un telèfon infectat. Les capacitats clau inclouen: silenciar l'àudio del sistema per suprimir les alertes (tons de trucada, notificacions, contingut multimèdia), mostrar indicacions falses a pantalla completa (per exemple, "Verificació d'informació personal") per distreure les víctimes mentre activa els permisos i habilitar silenciosament els serveis i l'estat d'administrador. Pot obrir o tancar aplicacions mitjançant programació, actualitzar pantalles, simular tocs i moviments, desbloquejar la pantalla, controlar el desviament de trucades, enviar missatges SMS, instal·lar o desinstal·lar APK, descarregar fitxers, fer fotos i captures de pantalla, amagar finestres i definir text als camps d'entrada. El programari maliciós també pot llegir el porta-retalls d'Android i exfiltrar-ne el contingut (exposant contrasenyes, frases inicials i altres secrets) i captura contactes, SMS, llistes d'aplicacions instal·lades, estat del dispositiu i geolocalització.

Banca i criptomonedes: quines aplicacions estan en risc?

BankBot rep instruccions d'un servidor de comandament i control que proporciona una llista d'aplicacions financeres i bancàries per al robatori de credencials o transaccions fraudulentes. També ataca específicament molts moneders de criptomonedes automatitzant les interfícies d'usuari de les aplicacions de moneder a través de l'accessibilitat per llegir artefactes sensibles com ara frases inicials, claus privades o detalls de transaccions. Alguns exemples d'objectius de moneder observats inclouen:

  • AUTOS, Bitcoin, BitKeep, cartera Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (cartera de criptomonedes Ethereum), TokenPocket, Trust Wallet, Valor.

Tècniques d'engany i emmascarament d'aplicacions

Per reduir les sospites, BankBot pot canviar la seva icona i el seu nom per suplantar serveis legítims (per exemple, presentant-se com a Google News) i després obrir contingut web d'aspecte fiable dins d'una WebView. Aquests canvis estètics, combinats amb indicacions falses tipus reCAPTCHA o diàlegs de verificació a pantalla completa, s'utilitzen per enganyar els usuaris perquè concedeixin permisos o interactuïn amb l'aplicació mentre s'executen accions malicioses en segon pla.

Com solen arribar els usuaris a BankBot

En molts casos, les víctimes instal·len BankBot elles mateixes després de ser enganyades. Les rutes d'infecció habituals inclouen:

  • Càrrega lateral d'APK des de llocs controlats per atacants o botigues de tercers.
  • Aplicacions falses o malicioses distribuïdes a través de repositoris d'aplicacions no fiables.
  • Instal·lacions o descàrregues automàtiques des d'anuncis enganyosos i finestres emergents en llocs web dubtosos.
  • Enllaços en SMS, aplicacions de missatgeria o correus electrònics de phishing.

L'enginyeria social és fonamental per a la distribució: els delinqüents creen esquers convincents per persuadir els usuaris perquè descarreguin i executin el programari maliciós.

Riscos i impacte previst

Un dispositiu infectat pot patir usurpacions de comptes, transaccions financeres no autoritzades, robatori d'identitats i pèrdua de privadesa. La combinació d'abús d'accessibilitat, persistència silenciosa, perfilació de dispositius i atacs dirigits contra aplicacions bancàries i criptogràfiques fa que BankBot sigui especialment perillós per als usuaris amb aplicacions financeres o moneders criptogràfics als seus telèfons.

Mesures immediates de contenció i recuperació

  • Revocar permisos sospitosos: eliminar els permisos d'accessibilitat i notificació per a aplicacions desconegudes i revocar els drets d'administrador del dispositiu.
  • Desinstal·leu les aplicacions malicioses i executeu una anàlisi completa amb un producte de seguretat mòbil de bona reputació.
  • Canvieu les contrasenyes i activeu l'autenticació multifactor per als comptes financers i qualsevol servei utilitzat al dispositiu; feu-ho des d'un dispositiu net.
  • Poseu-vos en contacte amb bancs o proveïdors de moneders si sospiteu activitat fraudulenta i superviseu els comptes per detectar transaccions no autoritzades.
  • Si s'han exposat frases inicials o claus privades, moveu els fons a noves adreces de cartera les claus de les quals s'han generat en un dispositiu net.

    • Prevenció

    Mantingueu el sistema operatiu i les aplicacions del dispositiu actualitzats, eviteu la càrrega lateral d'APK o la instal·lació d'aplicacions de fonts no fiables, desactiveu la instal·lació automàtica des de fonts desconegudes, desconfieu de les indicacions que us demanen que activeu les funcions d'accessibilitat o d'administració del dispositiu i utilitzeu un producte de seguretat mòbil de confiança que pugui detectar i eliminar troians i programari publicitari. Informeu els usuaris i els empleats sobre les tàctiques d'enginyeria social que faciliten la càrrega lateral i l'atorgament de permisos.

    Resum: tractar BankBot com a d'alt risc

    BankBot és un RAT d'Android discret i ric en funcions que combina l'abús d'accessibilitat, les comprovacions d'entorn, les tasques programades persistents, l'automatització de la interfície d'usuari i el robatori dirigit d'actius bancaris i criptogràfics. A causa del seu potencial per causar greus danys financers i a la privadesa, qualsevol sospita d'infecció s'ha de tractar com a urgent: elimineu el programari maliciós, assegureu els comptes des d'un dispositiu net i preneu les mesures preventives anteriors per reduir l'exposició futura.

    Tendència

    Més vist

    Carregant...