Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili BankBot RAT

BankBot RAT

Entro Mezo nel Malware per dispositivi mobili, Strumenti di amministrazione remota
Traduci in:

BankBot è un potente trojan Android per l'accesso remoto che, una volta installato, può assumere il controllo completo di un dispositivo. Sfrutta le funzionalità di accessibilità di Android per aumentare i privilegi, automatizzare le azioni dell'interfaccia utente, raccogliere informazioni sensibili ed eseguire operazioni non autorizzate che possono portare a frodi finanziarie, furto di identità e distribuzione di malware. Qualsiasi infezione confermata richiede una correzione immediata.

Stealth e profilazione dei dispositivi

BankBot evita attivamente l'analisi e prende di mira solo ambienti selezionati. Esegue controlli su emulatori e sandbox, ispeziona gli attributi dei dispositivi (marca, modello, ROM) e adatta il proprio comportamento in modo da funzionare su dispositivi reali selezionati, pur rimanendo inattivo o elusivo in ambienti di laboratorio. Il malware raccoglie e registra anche i dati di telemetria dei dispositivi (versione e build di Android, marca e modello, produttore, ID hardware e build e nome del prodotto) per profilare i bersagli ed escludere i dispositivi non supportati.

Ottenere il controllo: abuso dell'accessibilità e persistenza silenziosa

Una tattica fondamentale è l'abuso dei servizi di accessibilità. BankBot può aprire le Impostazioni di Accessibilità e, tramite ingegneria sociale, indurre l'utente ad abilitare un servizio di accessibilità dannoso; con tale autorizzazione, può automatizzare i clic, inserire testo, abilitare altre autorizzazioni ed eseguire azioni senza il consenso dell'utente. Può anche ottenere i diritti di amministratore del dispositivo. Per sopravvivere ai riavvii e mantenere l'accesso a lungo termine, il malware pianifica un'attività ricorrente (circa ogni 30 secondi) che richiede la connettività di rete e persiste anche dopo i riavvii del dispositivo.

Capacità: cosa può fare BankBot

Le funzionalità di BankBot gli conferiscono un controllo pressoché completo su un telefono infetto. Tra le funzionalità principali figurano: la disattivazione dell'audio di sistema per sopprimere gli avvisi (suonerie, notifiche, contenuti multimediali), la visualizzazione di falsi prompt a schermo intero (ad esempio, "Verifica delle informazioni personali") per distrarre le vittime mentre attiva le autorizzazioni e l'abilitazione silenziosa di servizi e stato di amministratore. Può aprire o chiudere app in modo programmatico, aggiornare schermate, simulare tocchi e scorrimenti, sbloccare lo schermo, controllare l'inoltro di chiamata, inviare SMS, installare o disinstallare APK, scaricare file, scattare foto e screenshot, nascondere finestre e inserire testo nei campi di input. Il malware può anche leggere gli appunti di Android ed esfiltrarne il contenuto, esponendo password, frasi seed e altri segreti, e cattura contatti, SMS, elenchi di app installate, stato del dispositivo e geolocalizzazione.

Prendere di mira il settore bancario e le criptovalute: quali app sono a rischio

BankBot riceve istruzioni da un server di comando e controllo che fornisce un elenco di app finanziarie e bancarie da prendere di mira per il furto di credenziali o transazioni fraudolente. Inoltre, prende di mira specificamente molti wallet di criptovalute automatizzando le interfacce utente delle app wallet tramite Accessibilità per leggere artefatti sensibili come frasi seed, chiavi private o dettagli delle transazioni. Tra gli esempi di wallet presi di mira osservati figurano:

  • AUTOS, Bitcoin, BitKeep, Portafoglio Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Portafoglio Ethereum Crypto), TokenPocket, Trust Wallet, Valor.

Tecniche di inganno e mascheramento delle app

Per ridurre i sospetti, BankBot può modificare la propria icona e il proprio nome per impersonare servizi legittimi (ad esempio, presentandosi come Google News) e quindi aprire contenuti web dall'aspetto attendibile all'interno di una WebView. Queste modifiche estetiche, combinate con falsi prompt simili a reCAPTCHA o finestre di dialogo di verifica a schermo intero, vengono utilizzate per indurre gli utenti a concedere autorizzazioni o interagire con l'app mentre azioni dannose vengono eseguite in background.

Come gli utenti in genere arrivano su BankBot

In molti casi, le vittime installano BankBot da sole dopo essere state ingannate. Le vie di infezione più comuni includono:

  • Caricamento laterale di APK da siti controllati da aggressori o da store di terze parti.
  • Applicazioni false o dannose distribuite tramite repository di applicazioni non attendibili.
  • Installazioni o download drive-by da annunci pubblicitari ingannevoli e pop-up su siti dubbi.
  • Link presenti in SMS, app di messaggistica o e-mail di phishing.

L'ingegneria sociale è fondamentale per la distribuzione: i criminali elaborano esche convincenti per convincere gli utenti a scaricare ed eseguire il malware.

Rischi e impatto previsto

Un dispositivo infetto può subire furti di account, transazioni finanziarie non autorizzate, furto di identità e perdita della privacy. La combinazione di abusi di accessibilità, persistenza silenziosa, profilazione del dispositivo e attacchi mirati contro app bancarie e di criptovalute rende BankBot particolarmente pericoloso per gli utenti con app finanziarie o wallet di criptovalute sui propri telefoni.

Misure immediate di contenimento e recupero

  • Revoca autorizzazioni sospette: rimuovi le autorizzazioni di accessibilità e notifica per le app sconosciute e revoca i diritti di amministratore del dispositivo.
  • Disinstallare le app dannose ed eseguire una scansione completa con un prodotto di sicurezza mobile affidabile.
  • Cambia le password e abilita l'autenticazione a più fattori per gli account finanziari e per tutti i servizi utilizzati sul dispositivo: esegui queste operazioni da un dispositivo pulito.
  • Contatta banche o fornitori di portafogli elettronici se sospetti attività fraudolente e monitora i conti per individuare transazioni non autorizzate.
  • Se le seed phrase o le chiavi private sono state esposte, sposta i fondi su nuovi indirizzi wallet le cui chiavi sono state generate su un dispositivo pulito.

    • Prevenzione

    Mantieni aggiornati il sistema operativo e le app del dispositivo, evita di caricare APK o di installare app da fonti non attendibili, disattiva l'installazione automatica da fonti sconosciute, diffida dei prompt che ti chiedono di abilitare le funzionalità di Accessibilità o di amministrazione del dispositivo e utilizza un prodotto di sicurezza mobile affidabile in grado di rilevare e rimuovere trojan e adware. Informa utenti e dipendenti sulle tattiche di social engineering che facilitano il caricamento laterale e la concessione di autorizzazioni.

    Riepilogo — Trattare BankBot come ad alto rischio

    BankBot è un RAT Android furtivo e ricco di funzionalità che combina abusi di accessibilità, controlli ambientali, attività pianificate persistenti, automazione dell'interfaccia utente e furto mirato di asset bancari e criptovalute. A causa del suo potenziale di gravi danni finanziari e alla privacy, qualsiasi sospetta infezione deve essere trattata con urgenza: rimuovere il malware, proteggere gli account da un dispositivo pulito e adottare le misure preventive sopra indicate per ridurre l'esposizione futura.

    Tendenza

    I più visti

    Caricamento in corso...