BankBot RAT

Do Mezo. Mobilni malware, Alati za udaljenu administraciju. godine

Prevedi na:

BankBot je moćan Android trojanac za daljinski pristup koji, nakon instalacije, može preuzeti opsežnu kontrolu nad uređajem. Koristi Androidove značajke pristupačnosti za eskalaciju privilegija, automatizaciju radnji korisničkog sučelja, prikupljanje osjetljivih informacija i izvršavanje neovlaštenih operacija koje mogu dovesti do financijskih prijevara, krađe identiteta i postavljanja zlonamjernog softvera. Svaka potvrđena infekcija zahtijeva hitno saniranje.

Sadržaj

Prikrivenost i profiliranje uređaja

BankBot aktivno izbjegava analizu i cilja samo odabrana okruženja. Izvodi provjere emulatora i sandboxa, pregledava atribute uređaja (marka, model, ROM) i prilagođava svoje ponašanje tako da radi na odabranim stvarnim uređajima, dok u laboratorijskim okruženjima ostaje neaktivan ili izbjegavajući rad. Zlonamjerni softver također prikuplja i bilježi telemetriju uređaja - verziju i međuverziju Androida, marku i model, proizvođača, ID-ove hardvera i međuverzije te naziv proizvoda - kako bi profilirao ciljeve i preskočio nepodržane uređaje.

Preuzimanje kontrole: Zloupotreba pristupačnosti i tiha upornost

Osnovna taktika je zlouporaba usluga pristupačnosti. BankBot može otvoriti Postavke pristupačnosti i društveno navesti korisnika da omogući zlonamjernu uslugu pristupačnosti; s tim dopuštenjem može automatizirati klikove, unositi tekst, omogućiti druga dopuštenja i izvršavati radnje bez pristanka korisnika. Također može dobiti administratorska prava uređaja. Kako bi preživio ponovna pokretanja i održao dugoročni pristup, zlonamjerni softver zakazuje ponavljajući zadatak (otprilike svakih 30 sekundi) koji zahtijeva mrežnu povezivost i traje i nakon ponovnih pokretanja uređaja.

Mogućnosti — Što BankBot može učiniti

BankBotov skup značajki daje mu gotovo potpunu kontrolu nad zaraženim telefonom. Ključne mogućnosti uključuju: isključivanje zvuka sustava radi suzbijanja upozorenja (melodije zvona, obavijesti, medija), prikazivanje lažnih upita preko cijelog zaslona (na primjer, 'Provjera osobnih podataka') radi odvraćanja pažnje žrtava dok aktivira dopuštenja te tiho omogućavanje usluga i administratorskog statusa. Može programski otvarati ili zatvarati aplikacije, osvježavati zaslone, simulirati dodire i prevlačenja, otključavati zaslon, kontrolirati prosljeđivanje poziva, slati SMS poruke, instalirati ili deinstalirati APK-ove, preuzimati datoteke, snimati fotografije i snimke zaslona, skrivati prozore i postavljati tekst u polja za unos. Zlonamjerni softver također može čitati Androidov međuspremnik i izvući njegov sadržaj - otkrivajući lozinke, početne fraze i druge tajne - te bilježi kontakte, SMS-ove, popise instaliranih aplikacija, status uređaja i geolokaciju.

Ciljanje bankarstva i kriptovaluta — koje su aplikacije u opasnosti

BankBot prima upute od poslužitelja za upravljanje i kontrolu koji dostavlja popis financijskih i bankarskih aplikacija koje treba ciljati za krađu vjerodajnica ili prijevarne transakcije. Također cilja mnoge kriptovalutne novčanike automatizirajući korisnička sučelja aplikacija novčanika putem Pristupačnosti kako bi čitao osjetljive artefakte poput početnih fraza, privatnih ključeva ili detalja transakcija. Primjeri uočenih ciljeva novčanika uključuju:

AUTOS, Bitcoin, BitKeep, Blockchain novčanik, Coin98 Super novčanik, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum kripto novčanik), TokenPocket, Trust novčanik, Valor.

Tehnike obmane i maskiranje aplikacija

Kako bi smanjio sumnju, BankBot može promijeniti svoju ikonu i naziv kako bi se predstavljao kao legitimne usluge (na primjer, predstavljajući se kao Google News), a zatim otvoriti web sadržaj koji izgleda pouzdano unutar WebViewa. Ove kozmetičke promjene, u kombinaciji s lažnim upitima sličnim reCAPTCHA-i ili dijalozima za provjeru preko cijelog zaslona, koriste se za prevaru korisnika da daju dopuštenja ili komuniciraju s aplikacijom dok se u pozadini izvode zlonamjerne radnje.

Kako korisnici obično dođu na BankBot

U mnogim slučajevima, žrtve same instaliraju BankBot nakon što su prevarene. Uobičajeni putevi zaraze uključuju:

Bočno učitavanje APK-ova s web-mjesta kojima upravljaju napadači ili iz trgovina trećih strana.
Lažne ili zlonamjerne aplikacije distribuirane putem nepouzdanih repozitorija aplikacija.
Drive-by instalacije ili preuzimanja s obmanjujućih oglasa i skočnih prozora na sumnjivim stranicama.
Linkovi u SMS-ovima, aplikacijama za razmjenu poruka ili phishing e-porukama.

Socijalni inženjering je ključan za distribuciju: kriminalci izrađuju uvjerljive mamce kako bi nagovorili korisnike da preuzmu i pokrenu zlonamjerni softver.

Rizici i očekivani utjecaj

Zaraženi uređaj može pretrpjeti preuzimanje računa, neovlaštene financijske transakcije, krađu identiteta i gubitak privatnosti. Kombinacija zlouporabe pristupačnosti, tihe perzistencije, profiliranja uređaja i ciljanih napada na bankarske i kripto aplikacije čini BankBot posebno opasnim za korisnike s financijskim aplikacijama ili kripto novčanicima na svojim telefonima.

Hitne mjere za suzbijanje i oporavak

Poništi sumnjiva dopuštenja: ukloni dopuštenja za pristup i obavijesti za nepoznate aplikacije i poništi prava administratora uređaja.

Deinstalirajte zlonamjerne aplikacije i pokrenite potpuno skeniranje pouzdanim proizvodom za mobilnu sigurnost.

Promijenite lozinke i omogućite višefaktorsku autentifikaciju za financijske račune i sve usluge koje se koriste na uređaju - učinite to s čistog uređaja.

Obratite se bankama ili pružateljima usluga novčanika ako sumnjate na prijevarnu aktivnost i pratite račune zbog neovlaštenih transakcija.

Ako su otkrivene početne fraze ili privatni ključevi, premjestite sredstva na nove adrese novčanika čiji su ključevi generirani na čistom uređaju.

Prevencija

Redovito ažurirajte operativni sustav i aplikacije uređaja, izbjegavajte bočno učitavanje APK-ova ili instaliranje aplikacija iz nepouzdanih izvora, onemogućite automatsku instalaciju iz nepoznatih izvora, budite sumnjičavi prema upitima koji traže da omogućite značajke pristupačnosti ili administratora uređaja te koristite pouzdani proizvod za mobilnu sigurnost koji može otkriti i ukloniti trojance i adware. Educirajte korisnike i zaposlenike o taktikama socijalnog inženjeringa koje olakšavaju bočno učitavanje i dodjeljivanje dopuštenja.

Sažetak — Tretirajte BankBot kao visokorizičan

BankBot je prikriveni Android RAT bogat značajkama koji kombinira zlouporabu pristupačnosti, provjere okruženja, uporne zakazane zadatke, automatizaciju korisničkog sučelja i ciljanu krađu bankovne i kripto imovine. Zbog potencijala za ozbiljnu financijsku i privatnu štetu, svaku sumnju na infekciju treba hitno tretirati: uklonite zlonamjerni softver, osigurajte račune s čistog uređaja i poduzmite gore navedene preventivne korake kako biste smanjili buduću izloženost.

EnigmaSoftov procesor plaćanja Digital River GmbH Prijava stečaja ne utječe na zaštitu korisnika SpyHuntera od zlonamjernog softvera

Traži

Promjena regije

BankBot RAT

Prikrivenost i profiliranje uređaja

Preuzimanje kontrole: Zloupotreba pristupačnosti i tiha upornost

Mogućnosti — Što BankBot može učiniti

Ciljanje bankarstva i kriptovaluta — koje su aplikacije u opasnosti

Tehnike obmane i maskiranje aplikacija

Kako korisnici obično dođu na BankBot

Rizici i očekivani utjecaj

Hitne mjere za suzbijanje i oporavak

Prevencija

Sažetak — Tretirajte BankBot kao visokorizičan

Pošaljite komentar

U trendu

Tropski nastavak

Unsfeths.com

Prijevara kršenja sigurnosti Trust Walleta

Nagledanije

Malware

Prijevara putem e-pošte 'Geek Squad'

Fuq.com