BankBot RAT
BankBot on võimas Androidi kaugjuurdepääsu trooja, mis pärast installimist suudab seadme üle ulatusliku kontrolli haarata. See kasutab Androidi ligipääsetavuse funktsioone õiguste laiendamiseks, kasutajaliidese toimingute automatiseerimiseks, tundliku teabe kogumiseks ja volitamata toimingute tegemiseks, mis võivad viia finantspettuste, identiteedivarguste ja pahavara levitamiseni. Iga kinnitatud nakkus nõuab viivitamatut kõrvaldamist.
Sisukord
Varjatud ja seadme profiilimine
BankBot väldib aktiivselt analüüsi ja sihib ainult valitud keskkondi. See teostab emulaatori ja liivakasti kontrolle, kontrollib seadme atribuute (marki, mudelit, ROM-i) ja kohandab oma käitumist nii, et see töötaks valitud reaalsetes seadmetes, jäädes samal ajal laborikeskkondades uinunud või mittetoimivaks. Pahavara kogub ja logib ka seadme telemeetriat – Androidi versiooni ja ehitust, brändi ja mudelit, tootjat, riistvara ja ehituse ID-sid ning toote nime –, et profileerida sihtmärke ja vahele jätta toetamata seadmed.
Kontrolli saavutamine: ligipääsetavuse kuritarvitamine ja vaikne püsivus
Põhitaktika on ligipääsetavuse teenuste kuritarvitamine. BankBot saab avada ligipääsetavuse seaded ja sotsiaalselt manipuleerida kasutajat pahatahtliku ligipääsetavuse teenuse lubamiseks; selle loaga saab see automatiseerida klikke, sisestada teksti, lubada muid õigusi ja teha toiminguid ilma kasutaja nõusolekuta. Samuti saab see hankida seadme administraatori õigused. Taaskäivituste üleelamiseks ja pikaajalise juurdepääsu säilitamiseks ajastab pahavara korduva ülesande (umbes iga 30 sekundi järel), mis nõuab võrguühendust ja püsib seadme taaskäivitamisel.
Võimalused – mida BankBoti abil saab teha
BankBoti funktsioonide komplekt annab sellele nakatunud telefoni peaaegu täieliku kontrolli. Peamised võimalused hõlmavad süsteemi heli vaigistamist teadete (helinate, teavituste, meedia) summutamiseks, võltsitud teavituste (näiteks „Isikuandmete kontrollimine”) kuvamist ohvrite tähelepanu hajutamiseks lubade aktiveerimise ajal ning teenuste ja administraatori staatuse vaikset lubamist. See saab programmiliselt avada või sulgeda rakendusi, värskendada ekraane, simuleerida puudutusi ja pühkimisi, avada ekraani, juhtida kõnede suunamist, saata SMS-sõnumeid, installida või desinstallida APK-sid, alla laadida faile, teha fotosid ja ekraanipilte, peita aknaid ja sisestada teksti sisestusväljadele. Pahavara saab lugeda ka Androidi lõikelauda ja selle sisu välja filtreerida – paljastades paroole, algfraase ja muid saladusi – ning see jäädvustab kontakte, SMS-e, installitud rakenduste loendeid, seadme olekut ja geograafilist asukohta.
Panganduse ja krüpto sihtimine – millised rakendused on ohus
BankBot saab käske käsu- ja kontrollserverilt, mis edastab nimekirja finants- ja pangandusrakendustest, mida sihtida volituste varguse või petturlike tehingute suhtes. Samuti sihib see spetsiaalselt paljusid krüptovaluuta rahakotte, automatiseerides rahakotirakenduste kasutajaliideseid ligipääsetavuse kaudu, et lugeda tundlikke esemeid, nagu seemnefraasid, privaatvõtmed või tehingu üksikasjad. Täheldatud rahakoti sihtmärkide näited on järgmised:
- AUTOS, Bitcoin, BitKeep, Blockchaini rahakott, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereumi krüptorahakott), TokenPocket, Trust Wallet, Valor.
Pettusetehnikad ja rakenduste maskeerimine
Kahtluse vähendamiseks saab BankBot muuta oma ikooni ja nime, et jäljendada õigustatud teenuseid (näiteks esitleda end Google Newsina) ja seejärel avada usaldusväärse välimusega veebisisu WebView's. Neid kosmeetilisi muudatusi koos võltsitud reCAPTCHA-laadsete viipade või täisekraani kinnitusdialoogidega kasutatakse kasutajate petmiseks lubasid andma või rakendusega suhtlema, samal ajal kui taustal toimuvad pahatahtlikud toimingud.
Kuidas kasutajad tavaliselt BankBoti satuvad
Paljudel juhtudel installivad ohvrid BankBoti ise pärast pettuse ohvriks langemist. Levinud nakatumisteed on järgmised:
- APK-de külglaadimine ründaja kontrolli all olevatelt saitidelt või kolmandate osapoolte poodidest.
- Võltsitud või pahatahtlikud rakendused, mida levitatakse ebausaldusväärsete rakenduste hoidlate kaudu.
- Kahtlaste saitide petlike reklaamide ja hüpikakende kaudu tehtud uudsed installimised või allalaadimised.
- Lingid SMS-ides, sõnumsiderakendustes või andmepüügimeilides.
Sotsiaalne manipuleerimine on levitamise keskmes: kurjategijad loovad veenvaid peibutisi, et veenda kasutajaid pahavara alla laadima ja käivitama.
Riskid ja eeldatav mõju
Nakatunud seadmes võidakse teha kontode ülevõtmisi, volitamata finantstehinguid, varastatud identiteete ja kaotada privaatsust. Ligipääsetavuse kuritarvitamine, vaikne püsivus, seadme profileerimine ja sihipärased rünnakud pangandus- ja krüptorakenduste vastu muudavad BankBoti eriti ohtlikuks kasutajatele, kellel on telefonides finantsrakendused või krüptorahakotid.
Kohesed ohjeldamis- ja taastumismeetmed
Ennetamine
Hoidke seadme operatsioonisüsteem ja rakendused ajakohased, vältige APK-de külglaadimist või rakenduste installimist ebausaldusväärsetest allikatest, keelake automaatne installimine tundmatutest allikatest, suhtuge kahtlustavalt viipadesse, mis paluvad teil lubada ligipääsetavuse või seadme administreerimise funktsioonid, ning kasutage usaldusväärset mobiilseadmete turvatoodet, mis suudab tuvastada ja eemaldada troojalasi ja reklaamvara. Harige kasutajaid ja töötajaid sotsiaalse manipuleerimise taktikate kohta, mis hõlbustavad külglaadimist ja lubade andmist.
Kokkuvõte – käsitle BankBoti kõrge riskiga ettevõttena
BankBot on salakaval ja funktsiooniderikas Androidile suunatud pahavara, mis ühendab endas ligipääsetavuse kuritarvitamise, keskkonnakontrollid, püsivad ajastatud ülesanded, kasutajaliidese automatiseerimise ning panga- ja krüptovarade sihipärase varguse. Kuna see võib põhjustada tõsist rahalist ja privaatsuskahju, tuleks iga kahtlustatavat nakatumist käsitleda kiireloomuliselt: eemaldage pahavara, kaitske kontosid puhtast seadmest ja võtke ülaltoodud ennetavaid meetmeid, et vähendada edasist kokkupuudet.
