Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά BankBot RAT

BankBot RAT

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Το BankBot είναι ένα ισχυρό trojan απομακρυσμένης πρόσβασης για Android που, μόλις εγκατασταθεί, μπορεί να καταλάβει εκτεταμένο έλεγχο μιας συσκευής. Αξιοποιεί τις λειτουργίες προσβασιμότητας του Android για να κλιμακώσει τα δικαιώματα, να αυτοματοποιήσει τις ενέργειες της διεπαφής χρήστη, να συλλέξει ευαίσθητες πληροφορίες και να εκτελέσει μη εξουσιοδοτημένες λειτουργίες που μπορούν να οδηγήσουν σε οικονομική απάτη, κλοπή ταυτότητας και ανάπτυξη κακόβουλου λογισμικού. Οποιαδήποτε επιβεβαιωμένη μόλυνση απαιτεί άμεση αποκατάσταση.

Stealth και δημιουργία προφίλ συσκευών

Το BankBot αποφεύγει ενεργά την ανάλυση και στοχεύει μόνο σε επιλεγμένα περιβάλλοντα. Εκτελεί ελέγχους σε emulator και sandbox, επιθεωρεί τα χαρακτηριστικά της συσκευής (μάρκα, μοντέλο, ROM) και προσαρμόζει τη συμπεριφορά του έτσι ώστε να εκτελείται σε επιλεγμένες πραγματικές συσκευές ενώ παραμένει αδρανές ή μη ενεργό σε εργαστηριακά περιβάλλοντα. Το κακόβουλο λογισμικό συλλέγει και καταγράφει επίσης τηλεμετρία συσκευών — έκδοση και έκδοση Android, μάρκα και μοντέλο, κατασκευαστή, αναγνωριστικά υλικού και έκδοσης, και όνομα προϊόντος — για να δημιουργήσει προφίλ σε στόχους και να παραλείψει μη υποστηριζόμενες συσκευές.

Απόκτηση Ελέγχου: Κατάχρηση Προσβασιμότητας και Σιωπηλή Επιμονή

Μια βασική τακτική είναι η κατάχρηση των υπηρεσιών προσβασιμότητας. Το BankBot μπορεί να ανοίξει τις Ρυθμίσεις Προσβασιμότητας και να τροποποιήσει κοινωνικά τον χρήστη ώστε να ενεργοποιήσει μια κακόβουλη υπηρεσία προσβασιμότητας. Με αυτήν την άδεια, μπορεί να αυτοματοποιήσει τα κλικ, να εισαγάγει κείμενο, να ενεργοποιήσει άλλα δικαιώματα και να εκτελέσει ενέργειες χωρίς τη συγκατάθεση του χρήστη. Μπορεί επίσης να αποκτήσει δικαιώματα διαχειριστή συσκευής. Για να επιβιώσει από επανεκκινήσεις και να διατηρήσει μακροπρόθεσμη πρόσβαση, το κακόβουλο λογισμικό προγραμματίζει μια επαναλαμβανόμενη εργασία (περίπου κάθε 30 δευτερόλεπτα) που απαιτεί συνδεσιμότητα δικτύου και επιμένει σε όλες τις επανεκκινήσεις της συσκευής.

Δυνατότητες — Τι μπορεί να κάνει το BankBot

Το σύνολο χαρακτηριστικών του BankBot του δίνει σχεδόν πλήρη έλεγχο ενός μολυσμένου τηλεφώνου. Βασικές δυνατότητες περιλαμβάνουν: σίγαση του ήχου του συστήματος για την καταστολή ειδοποιήσεων (ήχοι κλήσης, ειδοποιήσεις, πολυμέσα), εμφάνιση ψεύτικων μηνυμάτων πλήρους οθόνης (για παράδειγμα, «Επαλήθευση Προσωπικών Πληροφοριών») για την απόσπαση της προσοχής των θυμάτων ενώ ενεργοποιεί τα δικαιώματα και αθόρυβη ενεργοποίηση υπηρεσιών και κατάστασης διαχειριστή. Μπορεί να ανοίγει ή να κλείνει εφαρμογές μέσω προγραμματισμού, να ανανεώνει οθόνες, να προσομοιώνει αγγίγματα και σαρώσεις, να ξεκλειδώνει την οθόνη, να ελέγχει την προώθηση κλήσεων, να στέλνει μηνύματα SMS, να εγκαθιστά ή να απεγκαθιστά αρχεία APK, να κατεβάζει αρχεία, να τραβάει φωτογραφίες και στιγμιότυπα οθόνης, να αποκρύπτει παράθυρα και να ορίζει κείμενο σε πεδία εισαγωγής. Το κακόβουλο λογισμικό μπορεί επίσης να διαβάσει το πρόχειρο του Android και να εξαγάγει το περιεχόμενό του — εκθέτοντας κωδικούς πρόσβασης, φράσεις seed και άλλα μυστικά — και καταγράφει επαφές, SMS, λίστες εγκατεστημένων εφαρμογών, την κατάσταση της συσκευής και τη γεωγραφική τοποθεσία.

Στόχευση στις Τραπεζικές Υπηρεσίες και τα Κρυπτονομίσματα — Ποιες Εφαρμογές Διατρέχουν Κίνδυνο

Το BankBot λαμβάνει οδηγίες από έναν διακομιστή εντολών και ελέγχου που παρέχει μια λίστα με οικονομικές και τραπεζικές εφαρμογές για στόχευση κλοπής διαπιστευτηρίων ή δόλιες συναλλαγές. Στοχεύει επίσης συγκεκριμένα σε πολλά πορτοφόλια κρυπτονομισμάτων αυτοματοποιώντας τα περιβάλλοντα χρήστη των εφαρμογών πορτοφολιού μέσω της Προσβασιμότητας για την ανάγνωση ευαίσθητων αντικειμένων όπως φράσεις εκκίνησης, ιδιωτικά κλειδιά ή λεπτομέρειες συναλλαγών. Παραδείγματα στόχων πορτοφολιού που παρατηρήθηκαν περιλαμβάνουν:

  • ΑΥΤΟΚΙΝΗΤΑ, Bitcoin, BitKeep, πορτοφόλι Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Πορτοφόλι Κρυπτονομισμάτων Ethereum), TokenPocket, Πορτοφόλι Trust, Valor.

Τεχνικές εξαπάτησης και μεταμφίεση εφαρμογών

Για να μειώσει τις υποψίες, το BankBot μπορεί να αλλάξει το εικονίδιο και το όνομά του για να μιμηθεί νόμιμες υπηρεσίες (για παράδειγμα, να παρουσιαστεί ως Google News) και στη συνέχεια να ανοίξει περιεχόμενο ιστού που μοιάζει με αξιόπιστο μέσα σε ένα WebView. Αυτές οι αισθητικές αλλαγές, σε συνδυασμό με ψεύτικες προτροπές τύπου reCAPTCHA ή παράθυρα διαλόγου επαλήθευσης πλήρους οθόνης, χρησιμοποιούνται για να ξεγελάσουν τους χρήστες ώστε να παραχωρήσουν δικαιώματα ή να αλληλεπιδράσουν με την εφαρμογή, ενώ κακόβουλες ενέργειες εκτελούνται στο παρασκήνιο.

Πώς οι χρήστες συνήθως καταλήγουν στο BankBot

Σε πολλές περιπτώσεις, τα θύματα εγκαθιστούν τα ίδια το BankBot αφού εξαπατηθούν. Συνήθεις οδοί μόλυνσης περιλαμβάνουν:

  • Πλάγια φόρτωση APK από ιστότοπους που ελέγχονται από εισβολείς ή καταστήματα τρίτων.
  • Ψεύτικες ή κακόβουλες εφαρμογές που διανέμονται μέσω μη αξιόπιστων αποθετηρίων εφαρμογών.
  • Εγκαταστάσεις ή λήψεις από παραπλανητικές διαφημίσεις και αναδυόμενα παράθυρα σε αμφίβολους ιστότοπους.
  • Σύνδεσμοι σε SMS, εφαρμογές ανταλλαγής μηνυμάτων ή email ηλεκτρονικού "ψαρέματος" (phishing).

Η κοινωνική μηχανική είναι κεντρικής σημασίας για τη διανομή: οι εγκληματίες κατασκευάζουν πειστικά δολώματα για να πείσουν τους χρήστες να κατεβάσουν και να εκτελέσουν το κακόβουλο λογισμικό.

Κίνδυνοι και αναμενόμενος αντίκτυπος

Μια μολυσμένη συσκευή μπορεί να υποστεί καταλήψεις λογαριασμού, μη εξουσιοδοτημένες οικονομικές συναλλαγές, κλοπή ταυτοτήτων και απώλεια απορρήτου. Ο συνδυασμός κατάχρησης προσβασιμότητας, σιωπηλής επιμονής, δημιουργίας προφίλ συσκευής και στοχευμένων επιθέσεων κατά τραπεζικών εφαρμογών και εφαρμογών κρυπτονομισμάτων καθιστά το BankBot ιδιαίτερα επικίνδυνο για χρήστες με οικονομικές εφαρμογές ή κρυπτονομίσματα στα τηλέφωνά τους.

Άμεσα βήματα περιορισμού και ανάκαμψης

  • Ανάκληση ύποπτων δικαιωμάτων: καταργήστε τα δικαιώματα προσβασιμότητας και ειδοποιήσεων για άγνωστες εφαρμογές και ανακαλέστε τα δικαιώματα διαχειριστή συσκευής.
  • Απεγκαταστήστε την/τις κακόβουλη/ες εφαρμογή/ές και εκτελέστε πλήρη σάρωση με ένα αξιόπιστο προϊόν ασφάλειας για κινητά.
  • Αλλάξτε τους κωδικούς πρόσβασης και ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων για οικονομικούς λογαριασμούς και οποιεσδήποτε υπηρεσίες που χρησιμοποιούνται στη συσκευή — κάντε το από μια καθαρή συσκευή.
  • Επικοινωνήστε με τράπεζες ή παρόχους πορτοφολιών εάν υποψιάζεστε δόλια δραστηριότητα και παρακολουθήστε τους λογαριασμούς για μη εξουσιοδοτημένες συναλλαγές.
  • Εάν εκτέθηκαν φράσεις εκκίνησης ή ιδιωτικά κλειδιά, μετακινήστε χρήματα σε νέες διευθύνσεις πορτοφολιών των οποίων τα κλειδιά δημιουργήθηκαν σε μια καθαρή συσκευή.

    • Πρόληψη

    Διατηρήστε το λειτουργικό σύστημα και τις εφαρμογές της συσκευής ενημερωμένα, αποφύγετε την παράπλευρη φόρτωση APK ή την εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές, απενεργοποιήστε την αυτόματη εγκατάσταση από άγνωστες πηγές, να είστε καχύποπτοι με τις προτροπές που σας ζητούν να ενεργοποιήσετε την Προσβασιμότητα ή τις λειτουργίες διαχείρισης συσκευής και χρησιμοποιήστε ένα αξιόπιστο προϊόν ασφάλειας για κινητά που μπορεί να ανιχνεύσει και να καταργήσει trojans και adware. Εκπαιδεύστε τους χρήστες και τους υπαλλήλους σχετικά με τις τακτικές κοινωνικής μηχανικής που διευκολύνουν την παράπλευρη φόρτωση και την εκχώρηση δικαιωμάτων.

    Σύνοψη — Αντιμετώπιση του BankBot ως Υψηλού Κινδύνου

    Το BankBot είναι ένα κρυφό, πλούσιο σε λειτουργίες Android RAT που συνδυάζει κατάχρηση προσβασιμότητας, ελέγχους περιβάλλοντος, επίμονες προγραμματισμένες εργασίες, αυτοματοποίηση UI και στοχευμένη κλοπή τραπεζικών και κρυπτονομισμάτων. Λόγω της πιθανότητας σοβαρής οικονομικής βλάβης και βλάβης του απορρήτου, οποιαδήποτε ύποπτη μόλυνση θα πρέπει να αντιμετωπίζεται ως επείγουσα: αφαιρέστε το κακόβουλο λογισμικό, ασφαλίστε τους λογαριασμούς από μια καθαρή συσκευή και λάβετε τα παραπάνω προληπτικά μέτρα για να μειώσετε τη μελλοντική έκθεση.

    Τάσεις

    Απάτη παραβίασης ασφαλείας του Trust Wallet

    Απατεώνες Ιστότοποι
    Καθώς οι διαδικτυακές απάτες συνεχίζουν να εξελίσσονται, οι χρήστες πρέπει να παραμένουν σε εγρήγορση κατά την πλοήγηση στο Διαδίκτυο, ιδιαίτερα όταν ασχολούνται με ψηφιακά περιουσιακά στοιχεία. Οι...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    32,906
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...