Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems BankBot RAT

BankBot RAT

Autorius Mezo, Kenkėjiška programa mobiliesiems, Nuotolinio administravimo įrankiai
Versti į:

„BankBot“ yra galingas nuotolinės prieigos „Android“ Trojos arklys, kuris, įdiegęs, gali perimti didelę įrenginio kontrolę. Jis naudoja „Android“ pritaikymo neįgaliesiems funkcijas, kad padidintų privilegijas, automatizuotų vartotojo sąsajos veiksmus, rinktų slaptą informaciją ir atliktų neteisėtas operacijas, kurios gali sukelti finansinį sukčiavimą, tapatybės vagystę ir kenkėjiškų programų diegimą. Bet kokia patvirtinta infekcija reikalauja nedelsiant pašalinti problemas.

Slaptas ir įrenginių profiliavimas

„BankBot“ aktyviai vengia analizės ir taikosi tik į pasirinktas aplinkas. Jis atlieka emuliatoriaus ir „smėlio dėžės“ patikrinimus, tikrina įrenginio atributus (gamintoją, modelį, ROM) ir pakoreguoja savo elgseną taip, kad veiktų pasirinktuose tikruose įrenginiuose, o laboratorinėje aplinkoje liktų neveiklus arba nepastebėtų. Kenkėjiška programa taip pat renka ir registruoja įrenginio telemetriją – „Android“ versiją ir versiją, prekės ženklą ir modelį, gamintoją, aparatinės įrangos ir versijos ID bei produkto pavadinimą – kad galėtų profiliuoti taikinius ir praleisti nepalaikomus įrenginius.

Kontrolės įgijimas: prieinamumo piktnaudžiavimas ir tylus atkaklumas

Pagrindinė taktika – piktnaudžiavimas pritaikymo neįgaliesiems paslaugomis. „BankBot“ gali atidaryti pritaikymo neįgaliesiems nustatymus ir socialiai manipuliuoti vartotoju, kad šis įjungtų kenkėjišką pritaikymo neįgaliesiems paslaugą; turėdamas šį leidimą, jis gali automatizuoti paspaudimus, įvesti tekstą, įgalinti kitus leidimus ir atlikti veiksmus be vartotojo sutikimo. Jis taip pat gali gauti įrenginio administratoriaus teises. Kad išgyventų perkrovus ir išlaikytų ilgalaikę prieigą, kenkėjiška programa suplanuoja pasikartojančią užduotį (maždaug kas 30 sekundžių), kuriai reikalingas tinklo ryšys ir kuri išlieka perkrovus įrenginį.

Galimybės – ką gali „BankBot“

„BankBot“ funkcijų rinkinys suteikia jam beveik visišką užkrėsto telefono kontrolę. Pagrindinės galimybės apima: sistemos garso nutildymą, siekiant slopinti įspėjimus (skambėjimo tonus, pranešimus, mediją), netikrų raginimų (pvz., „Asmeninės informacijos patvirtinimas“) rodymą per visą ekraną, siekiant atitraukti aukų dėmesį, kai aktyvuojamos leidimai, ir tylų paslaugų bei administratoriaus būsenos įjungimą. Jis gali programiškai atidaryti arba uždaryti programas, atnaujinti ekranus, imituoti lietimus ir braukimus, atrakinti ekraną, valdyti skambučių peradresavimą, siųsti SMS žinutes, įdiegti arba pašalinti APK, atsisiųsti failus, fotografuoti ir daryti ekrano kopijas, slėpti langus ir įvesti tekstą į įvesties laukus. Kenkėjiška programa taip pat gali nuskaityti „Android“ iškarpinę ir išgauti jos turinį, atskleisdama slaptažodžius, raktinius žodžius ir kitas paslaptis, taip pat fiksuoja kontaktus, SMS žinutes, įdiegtų programų sąrašus, įrenginio būseną ir geolokaciją.

Bankininkystės ir kriptovaliutų taikinys – kurioms programėlėms gresia pavojus

„BankBot“ gauna instrukcijas iš komandų ir valdymo serverio, kuris pateikia finansinių ir bankinių programėlių, į kurias reikia nukreipti duomenis dėl vagystės ar nesąžiningų operacijų, sąrašą. Jis taip pat konkrečiai taikosi į daugelį kriptovaliutų piniginių, automatizuodamas piniginės programėlių vartotojo sąsajas per prieinamumo funkciją, kad nuskaitytų jautrius artefaktus, tokius kaip pradinės frazės, privatūs raktai ar operacijų informacija. Stebimų piniginės taikinių pavyzdžiai:

  • AUTOS, Bitcoin, BitKeep, Blockchain piniginė, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum kriptovaliutų piniginė), TokenPocket, Trust Wallet, Valor.

Apgaulės metodai ir programėlių maskavimas

Siekdamas sumažinti įtarimą, „BankBot“ gali pakeisti savo piktogramą ir pavadinimą, kad apsimestų teisėtomis paslaugomis (pavyzdžiui, pristatytų save kaip „Google News“), o tada „WebView“ viduje atidaryti patikimą turinį. Šie kosmetiniai pakeitimai kartu su netikrais „reCAPTCHA“ tipo raginimais arba viso ekrano patvirtinimo dialogo langais naudojami siekiant apgauti vartotojus, kad jie suteiktų leidimus arba sąveikautų su programa, o fone vykdomi kenkėjiški veiksmai.

Kaip vartotojai paprastai patenka į „BankBot“

Daugeliu atvejų aukos pačios įdiegia „BankBot“ po to, kai buvo apgautos. Įprasti užkrėtimo būdai:

  • APK failų įkėlimas iš užpuolikų kontroliuojamų svetainių arba trečiųjų šalių parduotuvių.
  • Netikros arba kenkėjiškos programos, platinamos per nepatikimas programų saugyklas.
  • Automatiniai diegimai arba atsisiuntimai iš apgaulingų skelbimų ir iššokančiųjų langų abejotinose svetainėse.
  • Nuorodos SMS žinutėse, susirašinėjimo programėlėse arba sukčiavimo el. laiškuose.

Socialinė inžinerija yra labai svarbi platinimo procese: nusikaltėliai kuria įtikinamus masalus, kad įtikintų vartotojus atsisiųsti ir paleisti kenkėjišką programą.

Rizika ir numatomas poveikis

Užkrėstame įrenginyje gali būti perimtos paskyros, atliekamos neautorizuotos finansinės operacijos, pavogtos tapatybės ir prarandamas privatumas. Prieinamumo piktnaudžiavimo, tylaus atkaklumo, įrenginių profiliavimo ir tikslinių atakų prieš bankininkystės ir kriptovaliutų programas derinys daro „BankBot“ ypač pavojingą vartotojams, turintiems finansines programas ar kriptovaliutų pinigines savo telefonuose.

Neatidėliotini izoliavimo ir atkūrimo veiksmai

  • Atšaukti įtartinus leidimus: pašalinti nežinomų programų prieinamumo ir pranešimų leidimus ir atšaukti įrenginio administratoriaus teises.
  • Pašalinkite kenkėjišką (-as) programėlę (-as) ir atlikite išsamų nuskaitymą naudodami patikimą mobiliųjų įrenginių saugos produktą.
  • Pakeiskite slaptažodžius ir įjunkite daugiafaktorinį autentifikavimą finansinėms paskyroms ir visoms įrenginyje naudojamoms paslaugoms – tai darykite iš švaraus įrenginio.
  • Jei įtariate nesąžiningą veiklą, susisiekite su bankais arba piniginių teikėjais ir stebėkite sąskaitas, ar nėra neteisėtų operacijų.
  • Jei buvo atskleistos pradinės frazės arba privatūs raktai, perkelkite lėšas į naujus piniginės adresus, kurių raktai buvo sugeneruoti švariame įrenginyje.

    • Prevencija

    Nuolat atnaujinkite įrenginio OS ir programas, venkite APK failų įkėlimo iš išorinio šaltinio arba programų diegimo iš nepatikimų šaltinių, išjunkite automatinį diegimą iš nežinomų šaltinių, įtariai stebėkite raginimus įjungti pritaikymo neįgaliesiems arba įrenginio administravimo funkcijas ir naudokite patikimą mobiliųjų įrenginių saugos produktą, kuris gali aptikti ir pašalinti Trojos arklius ir reklamines programas. Švieskite naudotojus ir darbuotojus apie socialinės inžinerijos taktiką, kuri palengvina išorinį įkėlimą ir leidimų suteikimą.

    Santrauka – „BankBot“ traktuokite kaip didelės rizikos įrenginį

    „BankBot“ yra slapta, funkcijų gausa pasižyminti „Android“ RAT programa, kuri apjungia prieinamumo piktnaudžiavimą, aplinkos patikras, nuolatines suplanuotas užduotis, vartotojo sąsajos automatizavimą ir tikslinę bankininkystės bei kriptovaliutų turto vagystę. Dėl galimos rimtos finansinės ir privatumo žalos bet koks įtariamas užkrėtimas turėtų būti traktuojamas skubiai: pašalinkite kenkėjišką programą, apsaugokite paskyras iš švaraus įrenginio ir imkitės aukščiau nurodytų prevencinių veiksmų, kad sumažintumėte būsimą užkrėtimą.

    Tendencijos

    Labiausiai žiūrima

    Kenkėjiška programa

    Sukčiavimas, Šlamštas
    32,906
    Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
    Įkeliama...