تروجان بانکی (BankBot RAT)

BankBot یک تروجان قدرتمند دسترسی از راه دور اندروید است که پس از نصب، می‌تواند کنترل گسترده‌ای از دستگاه را در دست بگیرد. این تروجان از ویژگی‌های Accessibility اندروید برای افزایش امتیازات، خودکارسازی اقدامات رابط کاربری، جمع‌آوری اطلاعات حساس و انجام عملیات غیرمجاز که می‌تواند منجر به کلاهبرداری مالی، سرقت هویت و استقرار بدافزار شود، استفاده می‌کند. هرگونه آلودگی تأیید شده نیاز به اصلاح فوری دارد.

مخفی‌کاری و پروفایلینگ دستگاه

BankBot به طور فعال از تجزیه و تحلیل اجتناب می‌کند و فقط محیط‌های انتخاب شده را هدف قرار می‌دهد. این بدافزار بررسی‌های شبیه‌ساز و جعبه شنی را انجام می‌دهد، ویژگی‌های دستگاه (ساخت، مدل، ROM) را بررسی می‌کند و رفتار خود را تنظیم می‌کند تا در حالی که در محیط‌های آزمایشگاهی غیرفعال یا پنهان باقی می‌ماند، روی دستگاه‌های واقعی انتخاب شده اجرا شود. این بدافزار همچنین تله‌متری دستگاه - نسخه و ساخت اندروید، برند و مدل، سازنده، سخت‌افزار و شناسه‌های ساخت و نام محصول - را جمع‌آوری و ثبت می‌کند تا اهداف را پروفایل کند و از دستگاه‌های پشتیبانی نشده صرف نظر کند.

به دست گرفتن کنترل: سوءاستفاده از دسترسی و تداوم خاموش

یک تاکتیک اصلی، سوءاستفاده از سرویس‌های دسترسی است. BankBot می‌تواند تنظیمات دسترسی را باز کند و با مهندسی اجتماعی، کاربر را وادار به فعال کردن یک سرویس دسترسی مخرب کند؛ با این مجوز، می‌تواند کلیک‌ها را خودکار کند، متن وارد کند، سایر مجوزها را فعال کند و بدون رضایت کاربر اقداماتی را انجام دهد. همچنین می‌تواند حقوق مدیر دستگاه را به دست آورد. برای زنده ماندن از راه‌اندازی مجدد و حفظ دسترسی طولانی مدت، این بدافزار یک کار تکراری (تقریباً هر 30 ثانیه) را برنامه‌ریزی می‌کند که نیاز به اتصال به شبکه دارد و در طول راه‌اندازی مجدد دستگاه ادامه می‌یابد.

قابلیت‌ها - آنچه BankBot می‌تواند انجام دهد

مجموعه ویژگی‌های BankBot به آن کنترل تقریباً کامل تلفن آلوده را می‌دهد. قابلیت‌های کلیدی آن عبارتند از: بی‌صدا کردن صدای سیستم برای قطع هشدارها (زنگ‌ها، اعلان‌ها، رسانه‌ها)، نمایش پیام‌های جعلی تمام صفحه (به عنوان مثال، «تأیید اطلاعات شخصی») برای پرت کردن حواس قربانیان در حین فعال کردن مجوزها، و فعال کردن بی‌سروصدای سرویس‌ها و وضعیت مدیر. این بدافزار می‌تواند به صورت برنامه‌ریزی‌شده برنامه‌ها را باز یا بسته کند، صفحه‌ها را تازه کند، لمس‌ها و سوایپ‌ها را شبیه‌سازی کند، قفل صفحه را باز کند، هدایت تماس را کنترل کند، پیامک ارسال کند، فایل‌های APK را نصب یا حذف نصب کند، فایل‌ها را دانلود کند، عکس و اسکرین‌شات بگیرد، پنجره‌ها را پنهان کند و متن را در فیلدهای ورودی قرار دهد. این بدافزار همچنین می‌تواند کلیپ‌بورد اندروید را بخواند و محتویات آن را استخراج کند - رمزهای عبور، عبارات بازیابی و سایر اطلاعات محرمانه را افشا کند - و مخاطبین، پیامک‌ها، لیست برنامه‌های نصب شده، وضعیت دستگاه و موقعیت جغرافیایی را ضبط کند.

هدف قرار دادن بانکداری و ارزهای دیجیتال - کدام برنامه‌ها در معرض خطر هستند؟

BankBot دستورالعمل‌هایی را از یک سرور فرماندهی و کنترل دریافت می‌کند که فهرستی از برنامه‌های مالی و بانکی را برای هدف قرار دادن سرقت اعتبارنامه یا تراکنش‌های جعلی ارائه می‌دهد. همچنین با خودکارسازی رابط‌های کاربری برنامه‌های کیف پول از طریق Accessibility برای خواندن مصنوعات حساس مانند عبارات بازیابی، کلیدهای خصوصی یا جزئیات تراکنش، به طور خاص بسیاری از کیف پول‌های ارز دیجیتال را هدف قرار می‌دهد. نمونه‌هایی از اهداف کیف پول مشاهده شده عبارتند از:

• اتوس، بیت‌کوین، بیت‌کیپ، کیف پول بلاکچین، سوپر کیف پول کوین۹۸، کوینومی، اکسودوس، ایم‌توکن، کریستال، متامسک، می‌والت، سیف‌پال، استاتوس (کیف پول رمزنگاری‌شده اتریوم)، توکن‌پاکت، تراست والت، والور.

تکنیک‌های فریب و تغییر ظاهر برنامه

برای کاهش سوءظن، BankBot می‌تواند آیکون و نام خود را تغییر دهد تا خود را به جای سرویس‌های قانونی جا بزند (برای مثال، خود را به عنوان Google News معرفی کند) و سپس محتوای وب به ظاهر قابل اعتماد را در یک WebView باز کند. این تغییرات ظاهری، همراه با پیام‌های جعلی شبیه reCAPTCHA یا دیالوگ‌های تأیید تمام صفحه، برای فریب کاربران جهت اعطای مجوز یا تعامل با برنامه در حالی که اقدامات مخرب در پس‌زمینه اجرا می‌شوند، استفاده می‌شوند.

نحوه‌ی ورود کاربران به BankBot

در بسیاری از موارد، قربانیان پس از فریب خوردن، خودشان BankBot را نصب می‌کنند. مسیرهای رایج آلودگی عبارتند از:

• دانلود جانبی فایل‌های APK از سایت‌های تحت کنترل مهاجم یا فروشگاه‌های شخص ثالث.
• برنامه‌های جعلی یا مخرب که از طریق مخازن برنامه نامعتبر توزیع می‌شوند.
• نصب‌ها یا دانلودهای ناخواسته از طریق تبلیغات فریبنده و پاپ‌آپ‌ها در سایت‌های مشکوک.
• لینک‌های موجود در پیامک، برنامه‌های پیام‌رسان یا ایمیل‌های فیشینگ.

مهندسی اجتماعی محور اصلی توزیع بدافزار است: مجرمان با ترفندهای متقاعدکننده، کاربران را به دانلود و اجرای بدافزار ترغیب می‌کنند.

خطرات و تأثیر مورد انتظار

یک دستگاه آلوده می‌تواند دچار تصاحب حساب، تراکنش‌های مالی غیرمجاز، سرقت هویت و از دست دادن حریم خصوصی شود. ترکیبی از سوءاستفاده از دسترسی، ماندگاری خاموش، پروفایلینگ دستگاه و حملات هدفمند علیه برنامه‌های بانکی و ارزهای دیجیتال، BankBot را به ویژه برای کاربرانی که برنامه‌های مالی یا کیف پول‌های ارز دیجیتال روی تلفن‌های خود دارند، خطرناک می‌کند.

مراحل مهار و بازیابی فوری

پیشگیری

سیستم عامل و برنامه‌های دستگاه را به‌روز نگه دارید، از دانلود فایل‌های APK از منابع نامعتبر یا نصب برنامه‌ها از منابع نامعتبر خودداری کنید، نصب خودکار از منابع ناشناس را غیرفعال کنید، به پیام‌هایی که از شما می‌خواهند ویژگی‌های Accessibility یا device-admin را فعال کنید، مشکوک باشید و از یک محصول امنیتی موبایل قابل اعتماد که می‌تواند تروجان‌ها و ابزارهای تبلیغاتی مزاحم را شناسایی و حذف کند، استفاده کنید. کاربران و کارمندان را در مورد تاکتیک‌های مهندسی اجتماعی که دانلود فایل‌های APK و اعطای مجوز را تسهیل می‌کنند، آموزش دهید.

خلاصه - با BankBot به عنوان یک عامل پرخطر برخورد کنید

BankBot یک RAT اندرویدی مخفی و غنی از ویژگی است که سوءاستفاده از دسترسی، بررسی‌های محیطی، وظایف برنامه‌ریزی‌شده مداوم، اتوماسیون رابط کاربری و سرقت هدفمند دارایی‌های بانکی و ارز دیجیتال را ترکیب می‌کند. به دلیل پتانسیل آن برای آسیب جدی مالی و حریم خصوصی، هرگونه آلودگی مشکوک باید فوری تلقی شود: بدافزار را حذف کنید، حساب‌ها را از یک دستگاه تمیز ایمن کنید و مراحل پیشگیرانه فوق را برای کاهش مواجهه در آینده انجام دهید.