BankBot RAT
BankBot je výkonný trojský kůň pro vzdálený přístup v systému Android, který po instalaci dokáže získat rozsáhlou kontrolu nad zařízením. Využívá funkce usnadnění přístupu v systému Android k eskalaci oprávnění, automatizaci akcí v uživatelském rozhraní, shromažďování citlivých informací a provádění neoprávněných operací, které mohou vést k finančním podvodům, krádeži identity a nasazení malwaru. Jakákoli potvrzená infekce vyžaduje okamžitou nápravu.
Obsah
Stealth a profilování zařízení
BankBot se aktivně vyhýbá analýze a cílí pouze na vybraná prostředí. Provádí kontroly emulátoru a sandboxu, kontroluje atributy zařízení (značku, model, ROM) a upravuje své chování tak, aby běžel na vybraných reálných zařízeních, zatímco v laboratorních prostředích zůstává neaktivní nebo vyhýbavý. Malware také shromažďuje a zaznamenává telemetrii zařízení – verzi a sestavení Androidu, značku a model, výrobce, ID hardwaru a sestavení a název produktu – aby profiloval cíle a přeskočil nepodporovaná zařízení.
Získání kontroly: Zneužívání přístupnosti a tiché vytrvalost
Základní taktikou je zneužití služeb přístupnosti. BankBot dokáže otevřít Nastavení přístupnosti a pomocí sociálního inženýrství přimět uživatele, aby povolil škodlivou službu přístupnosti. S tímto oprávněním může automatizovat klikání, zadávat text, povolit další oprávnění a provádět akce bez souhlasu uživatele. Může také získat práva správce zařízení. Aby malware přežil restartování a udržel si dlouhodobý přístup, naplánuje opakující se úlohu (zhruba každých 30 sekund), která vyžaduje připojení k síti a přetrvává i po restartu zařízení.
Možnosti — Co BankBot umí
Sada funkcí BankBotu mu dává téměř úplnou kontrolu nad infikovaným telefonem. Mezi klíčové schopnosti patří: ztlumení systémového zvuku pro potlačení upozornění (vyzváněcích tónů, oznámení, médií), zobrazování falešných pokynů na celou obrazovku (například „Ověření osobních údajů“) pro odvedení pozornosti obětí během aktivace oprávnění a tiché povolování služeb a stavu správce. Dokáže programově otevírat nebo zavírat aplikace, obnovovat obrazovky, simulovat dotyky a přejetí prstem, odemykat obrazovku, ovládat přesměrování hovorů, odesílat SMS zprávy, instalovat nebo odinstalovat soubory APK, stahovat soubory, pořizovat fotografie a snímky obrazovky, skrývat okna a vkládat text do vstupních polí. Malware dokáže také číst schránku systému Android a získávat její obsah – odhalovat hesla, klíčová slova a další tajné informace – a zachycovat kontakty, SMS zprávy, seznamy nainstalovaných aplikací, stav zařízení a geolokaci.
Zaměření na bankovnictví a kryptoměny – které aplikace jsou ohroženy
BankBot přijímá instrukce z velitelského a řídicího serveru, který poskytuje seznam finančních a bankovních aplikací, na které se má zaměřit z důvodu krádeže přihlašovacích údajů nebo podvodných transakcí. Také se konkrétně zaměřuje na mnoho kryptoměnových peněženek automatizací uživatelských rozhraní aplikací peněženky prostřednictvím přístupnosti pro čtení citlivých artefaktů, jako jsou seed fráze, soukromé klíče nebo podrobnosti o transakcích. Mezi příklady pozorovaných cílů peněženek patří:
- AUTOS, Bitcoin, BitKeep, Blockchainová peněženka, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (krypto peněženka Ethereum), TokenPocket, Trust Wallet, Valor.
Podvodné techniky a maskování aplikací
Aby se snížilo podezření, může BankBot změnit svou ikonu a název tak, aby se vydával za legitimní služby (například se prezentoval jako Google News), a poté otevíral důvěryhodný webový obsah uvnitř WebView. Tyto kosmetické změny v kombinaci s falešnými výzvami podobnými reCAPTCHA nebo ověřovacími dialogy na celou obrazovku se používají k tomu, aby uživatele oklamali a přiměli k udělení oprávnění nebo interakci s aplikací, zatímco na pozadí probíhají škodlivé akce.
Jak se uživatelé obvykle dostanou na BankBot
V mnoha případech si oběti nainstalují BankBot samy poté, co byly podvedeny. Mezi běžné cesty infekce patří:
- Stahování APK souborů z webů ovládaných útočníkem nebo z obchodů třetích stran.
- Falešné nebo škodlivé aplikace distribuované prostřednictvím nedůvěryhodných repozitářů aplikací.
- Náhodné instalace nebo stahování z klamavých reklam a vyskakovacích oken na pochybných stránkách.
- Odkazy v SMS zprávách, aplikacích pro zasílání zpráv nebo phishingových e-mailech.
Sociální inženýrství je ústředním bodem distribuce: zločinci vymýšlejí přesvědčivé návnady, aby přesvědčili uživatele ke stažení a spuštění malwaru.
Rizika a očekávaný dopad
Infikované zařízení může být vystaveno převzetí účtu, neoprávněným finančním transakcím, odcizení identity a ztrátě soukromí. Kombinace zneužití přístupnosti, tiché perzistence, profilování zařízení a cílených útoků proti bankovním a krypto aplikacím činí BankBot obzvláště nebezpečným pro uživatele s finančními aplikacemi nebo krypto peněženkami v telefonech.
Okamžité kroky k omezení šíření a obnově
Prevence
Udržujte operační systém a aplikace zařízení aktuální, vyhýbejte se stahování souborů APK z jiných zdrojů ani instalaci aplikací z nedůvěryhodných zdrojů, deaktivujte automatickou instalaci z neznámých zdrojů, buďte podezřelí z výzev, které vás žádají o povolení funkcí pro přístupnost nebo správu zařízení, a používejte důvěryhodný produkt pro mobilní zabezpečení, který dokáže detekovat a odstranit trojské koně a adware. Vzdělávejte uživatele a zaměstnance o taktikách sociálního inženýrství, které usnadňují stahování z jiných zdrojů a udělování oprávnění.
Shrnutí – Zacházejte s BankBotem jako s vysoce rizikovým
BankBot je nenápadný, na funkce bohatý antivirový program pro Android, který kombinuje zneužívání přístupnosti, kontroly prostředí, trvalé plánované úlohy, automatizaci uživatelského rozhraní a cílené krádeže bankovních a krypto aktiv. Vzhledem k potenciálu vážného finančního poškození a poškození soukromí by mělo být jakékoli podezření na infekci považováno za naléhavé: odstraňte malware, zabezpečte účty z čistého zařízení a podnikněte výše uvedené preventivní kroky ke snížení budoucího vystavení.
