Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program BankBot RAT

BankBot RAT

Mezo -ra Mobil rosszindulatú program, Távoli adminisztrációs eszközök-ben
Fordítás ide:

A BankBot egy hatékony, távoli hozzáférést biztosító trójai vírus Androidra, amely telepítés után képes átvenni az irányítást egy eszköz felett. Az Android akadálymentesítési funkcióit kihasználva kiterjeszti a jogosultságokat, automatizálja a felhasználói felület műveleteit, bizalmas információkat gyűjt, és jogosulatlan műveleteket hajt végre, amelyek pénzügyi csalásokhoz, személyazonosság-lopáshoz és rosszindulatú programok telepítéséhez vezethetnek. Minden megerősített fertőzés azonnali elhárítást igényel.

Lopakodás és eszközprofilozás

A BankBot aktívan elkerüli az elemzést, és csak a kiválasztott környezeteket célozza meg. Emulátor- és tesztkörnyezet-ellenőrzéseket végez, megvizsgálja az eszköz attribútumait (márka, modell, ROM), és úgy módosítja viselkedését, hogy kiválasztott valós eszközökön fusson, miközben laboratóriumi környezetben inaktív vagy kikerülő maradjon. A rosszindulatú program emellett eszköztelemetriai adatokat is gyűjt és naplóz – Android verzió és build, márka és modell, gyártó, hardver- és buildazonosítók, valamint terméknév – a célpontok profiljának meghatározásához és a nem támogatott eszközök kihagyásához.

Irányítás megszerzése: Hozzáférhetőségi visszaélések és csendes kitartás

Az egyik fő taktika az akadálymentesítési szolgáltatásokkal való visszaélés. A BankBot megnyithatja az akadálymentesítési beállításokat, és társadalmi manipulációval ráveheti a felhasználót egy rosszindulatú akadálymentesítési szolgáltatás engedélyezésére; ezzel az engedéllyel automatizálhatja a kattintásokat, szöveget írhat be, egyéb engedélyeket adhat meg, és műveleteket hajthat végre a felhasználó beleegyezése nélkül. Emellett eszközadminisztrátori jogokat is szerezhet. Az újraindítások túlélése és a hosszú távú hozzáférés fenntartása érdekében a rosszindulatú program egy ismétlődő feladatot ütemez be (nagyjából 30 másodpercenként), amely hálózati kapcsolatot igényel, és az eszköz újraindításakor is fennáll.

Képességek – Mit tud a BankBot?

A BankBot funkciókészlete szinte teljes irányítást biztosít a fertőzött telefon felett. A főbb képességek közé tartozik a rendszerhangok némítása a riasztások (csengőhangok, értesítések, média) elnyomása érdekében, teljes képernyős hamis üzenetküldések (például „Személyes adatok ellenőrzése”) megjelenítése az áldozatok figyelmének elterelése érdekében, miközben aktiválja az engedélyeket, valamint szolgáltatások és rendszergazdai állapot csendes engedélyezése. Programozottan képes alkalmazásokat megnyitni vagy bezárni, képernyőket frissíteni, érintéseket és húzásokat szimulálni, feloldani a képernyőt, hívásátirányítást vezérelni, SMS-üzeneteket küldeni, APK-kat telepíteni vagy eltávolítani, fájlokat letölteni, fényképeket és képernyőképeket készíteni, ablakokat elrejteni és szöveget beírni a beviteli mezőkbe. A rosszindulatú program képes olvasni az Android vágólapját is, és kiszivárogtatni annak tartalmát – jelszavakat, kulcsszavakat és egyéb titkokat felfedve –, valamint rögzíti a névjegyeket, SMS-eket, telepített alkalmazások listáját, az eszköz állapotát és a földrajzi helymeghatározást.

Banki és kriptovaluták célba vétele – mely alkalmazások vannak veszélyben

A BankBot utasításokat kap egy parancs- és vezérlőkiszolgálótól, amely megadja a pénzügyi és banki alkalmazások listáját, amelyeket hitelesítő adatok ellopása vagy csalárd tranzakciók esetén célba vehet. Emellett számos kriptovaluta-tárcát is célba vesz azáltal, hogy automatizálja a tárcaalkalmazások felhasználói felületét az akadálymentesítésen keresztül, hogy olyan érzékeny elemeket olvasson be, mint a vetőmag-mondatok, a privát kulcsok vagy a tranzakció részletei. A megfigyelt tárcacélpontok például a következők:

  • AUTOS, Bitcoin, BitKeep, Blockchain pénztárca, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum kriptovaluta pénztárca), TokenPocket, Trust Wallet, Valor.

Megtévesztő technikák és alkalmazásmaszkolás

A gyanú csökkentése érdekében a BankBot megváltoztathatja az ikonját és a nevét, hogy legitim szolgáltatásokat utánozzon (például Google Hírekként mutatkozik be), majd megbízhatónak tűnő webes tartalmakat nyithat meg egy WebView-n belül. Ezeket a kozmetikai változtatásokat, hamis reCAPTCHA-szerű promptokkal vagy teljes képernyős ellenőrző párbeszédablakokkal kombinálva, arra használják, hogy a felhasználókat rávegyék az engedélyek megadására vagy az alkalmazással való interakcióra, miközben a háttérben rosszindulatú műveletek futnak.

Hogyan találnak rá a felhasználók jellemzően a BankBotra?

Sok esetben az áldozatok maguk telepítik a BankBotot, miután megtévesztették őket. A gyakori fertőzési útvonalak a következők:

  • APK-k oldalirányú letöltése támadó által ellenőrzött webhelyekről vagy harmadik féltől származó áruházakból.
  • Hamis vagy rosszindulatú alkalmazások, amelyeket nem megbízható alkalmazástárházakon keresztül terjesztenek.
  • Megtévesztő hirdetésekből és kétes webhelyeken található felugró ablakokból származó, véletlenszerű telepítések vagy letöltések.
  • SMS-ben, üzenetküldő alkalmazásokban vagy adathalász e-mailekben található linkek.

A szociális manipuláció központi szerepet játszik a terjesztésben: a bűnözők meggyőző csalikat készítenek, hogy rávegyék a felhasználókat a rosszindulatú program letöltésére és futtatására.

Kockázatok és várható hatás

Egy fertőzött eszköz fiókfeltöréseknek, jogosulatlan pénzügyi tranzakcióknak, ellopott személyazonosságoknak és a magánélet elvesztésének lehet kitéve. Az akadálymentesítéssel való visszaélés, a csendes támadások, az eszközprofilozás és a banki és kriptoalkalmazások elleni célzott támadások kombinációja különösen veszélyessé teszi a BankBotot azok számára, akik pénzügyi alkalmazásokat vagy kriptopénztárcákat használnak a telefonjukon.

Azonnali elszigetelési és helyreállítási lépések

  • Gyanús engedélyek visszavonása: Ismeretlen alkalmazások akadálymentesítési és értesítési engedélyeinek eltávolítása, valamint eszközadminisztrátori jogok visszavonása.
  • Távolítsd el a rosszindulatú alkalmazás(oka)t, és futtass teljes vizsgálatot egy megbízható mobilbiztonsági termékkel.
  • Változtasd meg a jelszavaidat, és engedélyezd a többtényezős hitelesítést a pénzügyi számláidhoz és az eszközön használt szolgáltatásokhoz – ezt egy tiszta eszközről tedd meg.
  • Ha csalárd tevékenységre gyanakszik, vegye fel a kapcsolatot bankokkal vagy pénztárca-szolgáltatókkal, és figyelje a számlákat jogosulatlan tranzakciók szempontjából.
  • Ha a kezdőbetűk vagy a privát kulcsok kiszivárogtak, akkor olyan új pénztárcacímekre kell átutalni a pénzt, amelyek kulcsait egy tiszta eszközön generálták.

    • Megelőzés

    Tartsa naprakészen az eszköz operációs rendszerét és alkalmazásait, kerülje az APK-k közvetlen letöltését vagy a nem megbízható forrásokból származó alkalmazások telepítését, tiltsa le az ismeretlen forrásokból származó automatikus telepítést, legyen gyanakvó az akadálymentesítési vagy eszközadminisztrátori funkciók engedélyezését kérő kérdések esetén, és használjon megbízható mobilbiztonsági terméket, amely képes észlelni és eltávolítani a trójai programokat és a kéretlen reklámprogramokat. Tájékoztassa a felhasználókat és az alkalmazottakat a közvetlen letöltést és az engedélyek megadását elősegítő társadalmi manipuláció taktikákról.

    Összefoglalás – A BankBotot magas kockázatúként kezeljük

    A BankBot egy alattomos, funkciókban gazdag Android RAT vírus, amely egyesíti az akadálymentesítéssel való visszaéléseket, a környezeti ellenőrzéseket, az állandó ütemezett feladatokat, a felhasználói felület automatizálását, valamint a banki és kriptoeszközök célzott ellopását. Mivel komoly pénzügyi és adatvédelmi károkat okozhat, minden feltételezett fertőzést sürgősen kezelni kell: távolítsa el a rosszindulatú programot, biztosítsa a fiókokat egy tiszta eszközről, és tegye meg a fenti megelőző lépéseket a jövőbeni kitettség csökkentése érdekében.

    Felkapott

    Legnézettebb

    Betöltés...