Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm BankBot RAT

BankBot RAT

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Attālās administrēšanas rīki. gadā
Tulkot uz:

BankBot ir jaudīgs Android attālās piekļuves Trojas zirgs, kas pēc instalēšanas var iegūt plašu kontroli pār ierīci. Tas izmanto Android pieejamības funkcijas, lai paplašinātu privilēģijas, automatizētu lietotāja saskarnes darbības, ievāktu sensitīvu informāciju un veiktu neatļautas darbības, kas var izraisīt finanšu krāpšanu, identitātes zādzību un ļaunprogrammatūras izvietošanu. Jebkura apstiprināta infekcija prasa tūlītēju novēršanu.

Slepenā darbība un ierīču profilēšana

BankBot aktīvi izvairās no analīzes un mērķē tikai uz izvēlētajām vidēm. Tas veic emulatora un smilškastes pārbaudes, pārbauda ierīces atribūtus (marku, modeli, ROM) un pielāgo savu darbību, lai darbotos izvēlētajās reālajās ierīcēs, vienlaikus paliekot neaktīvam vai neizpaužot informāciju laboratorijas vidē. Ļaunprogramma arī apkopo un reģistrē ierīces telemetriju — Android versiju un būvējumu, zīmolu un modeli, ražotāju, aparatūras un būvējuma ID, kā arī produkta nosaukumu —, lai profilētu mērķus un izlaistu neatbalstītās ierīces.

Kontroles iegūšana: pieejamības ļaunprātīga izmantošana un klusējoša neatlaidība

Galvenā taktika ir pieejamības pakalpojumu ļaunprātīga izmantošana. BankBot var atvērt pieejamības iestatījumus un sociāli manipulēt ar lietotāju, lai tas iespējotu ļaunprātīgu pieejamības pakalpojumu; ar šo atļauju tas var automatizēt klikšķus, ievadīt tekstu, iespējot citas atļaujas un veikt darbības bez lietotāja piekrišanas. Tas var arī iegūt ierīces administratora tiesības. Lai pārdzīvotu atkārtotu palaišanu un saglabātu ilgtermiņa piekļuvi, ļaunprogrammatūra ieplāno atkārtotu uzdevumu (aptuveni ik pēc 30 sekundēm), kam nepieciešams tīkla savienojums un kas saglabājas pēc ierīces restartēšanas.

Iespējas — Ko BankBot spēj paveikt

BankBot funkciju kopums nodrošina tam gandrīz pilnīgu inficēta tālruņa kontroli. Galvenās iespējas ietver: sistēmas skaņas izslēgšanu, lai apklusinātu brīdinājumus (zvana signālus, paziņojumus, multividi), pilnekrāna viltus uzvedņu (piemēram, “Personiskās informācijas verifikācija”) attēlošanu, lai novērstu upuru uzmanību, kamēr tas aktivizē atļaujas, un pakalpojumu un administratora statusa klusu iespējošanu. Tas var programmatiski atvērt vai aizvērt lietotnes, atsvaidzināt ekrānus, simulēt pieskārienus un pārvilkšanas kustības, atbloķēt ekrānu, kontrolēt zvanu pāradresāciju, sūtīt īsziņas, instalēt vai atinstalēt APK failus, lejupielādēt failus, uzņemt fotoattēlus un ekrānuzņēmumus, paslēpt logus un ievietot tekstu ievades laukos. Ļaunprogrammatūra var arī lasīt Android starpliktuvi un izgūt tās saturu, atklājot paroles, sākuma frāzes un citus noslēpumus, un tā tver kontaktpersonas, īsziņas, instalēto lietotņu sarakstus, ierīces statusu un ģeogrāfisko atrašanās vietu.

Banku un kriptovalūtu mērķēšana — kuras lietotnes ir pakļautas riskam

BankBot saņem norādījumus no komandu un vadības servera, kas sniedz finanšu un banku lietotņu sarakstu, kuras mērķēt uz akreditācijas datu zādzību vai krāpnieciskiem darījumiem. Tas arī īpaši mērķē uz daudziem kriptovalūtas makiem, automatizējot maka lietotņu lietotāja saskarnes, izmantojot piekļuves funkciju, lai nolasītu sensitīvus artefaktus, piemēram, sākuma frāzes, privātās atslēgas vai darījumu informāciju. Novēroto maka mērķu piemēri ir šādi:

  • AUTOS, Bitcoin, BitKeep, Blockchain maks, Coin98 Super maks, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum kriptovalūtas maks), TokenPocket, Trust maks, Valor.

Maldināšanas paņēmieni un lietotņu maskēšana

Lai mazinātu aizdomas, BankBot var mainīt savu ikonu un nosaukumu, lai atdarinātu likumīgus pakalpojumus (piemēram, uzdodot sevi par Google News), un pēc tam WebView ietvaros atvērt uzticama izskata tīmekļa saturu. Šīs kosmētiskās izmaiņas apvienojumā ar viltotiem reCAPTCHA līdzīgiem uzvednēm vai pilnekrāna verifikācijas dialoglodziņiem tiek izmantotas, lai maldinātu lietotājus piešķirt atļaujas vai mijiedarboties ar lietotni, kamēr fonā notiek ļaunprātīgas darbības.

Kā lietotāji parasti nonāk BankBot vietnē

Daudzos gadījumos upuri paši instalē BankBot pēc tam, kad ir tikuši apmānīti. Biežāk sastopamie inficēšanās ceļi ir šādi:

  • APK failu sānielāde no uzbrucēju kontrolētām vietnēm vai trešo pušu veikaliem.
  • Viltotas vai ļaunprātīgas lietotnes, kas izplatītas, izmantojot neuzticamas lietotņu krātuves.
  • Instalēšana vai lejupielāde, izmantojot maldinošas reklāmas un uznirstošos logus apšaubāmās vietnēs, notiek automātiski.
  • Saites īsziņās, ziņojumapmaiņas lietotnēs vai pikšķerēšanas e-pastos.

Sociālā inženierija ir izplatīšanas centrālais elements: noziedznieki izstrādā pārliecinošus ēsmas veidus, lai pārliecinātu lietotājus lejupielādēt un palaist ļaunprogrammatūru.

Riski un paredzamā ietekme

Inficētā ierīcē var notikt kontu pārņemšana, neatļautas finanšu transakcijas, identitātes zādzības un privātuma zaudēšana. Pieejamības ļaunprātīgas izmantošanas, klusas noturības, ierīču profilēšanas un mērķtiecīgu uzbrukumu banku un kriptovalūtu lietotnēm kombinācija padara BankBot īpaši bīstamu lietotājiem, kuru tālruņos ir finanšu lietotnes vai kriptovalūtu maki.

Neatliekamās ierobežošanas un atveseļošanās darbības

  • Atsaukt aizdomīgas atļaujas: noņemiet piekļuves un paziņojumu atļaujas nezināmām lietotnēm un atsauciet ierīces administratora tiesības.
  • Atinstalējiet ļaunprātīgo(-ās) lietotni(-es) un veiciet pilnu skenēšanu, izmantojot cienījamu mobilo ierīču drošības produktu.
  • Mainiet paroles un iespējojiet daudzfaktoru autentifikāciju finanšu kontiem un visiem ierīcē izmantotajiem pakalpojumiem — dariet to no tīras ierīces.
  • Ja jums ir aizdomas par krāpniecisku darbību, sazinieties ar bankām vai maku pakalpojumu sniedzējiem un uzraugiet kontus, lai atklātu neatļautas transakcijas.
  • Ja sākuma frāzes vai privātās atslēgas ir tikušas atklātas, pārskaitiet līdzekļus uz jaunām maku adresēm, kuru atslēgas tika ģenerētas tīrā ierīcē.

    • Profilakse

    Atjauniniet ierīces operētājsistēmu un lietotnes, izvairieties no APK failu sānu ielādes vai lietotņu instalēšanas no neuzticamiem avotiem, atspējojiet automātisko instalēšanu no nezināmiem avotiem, esiet piesardzīgi pret uzvednēm, kurās tiek lūgts iespējot pieejamības vai ierīces administratora funkcijas, un izmantojiet uzticamu mobilās drošības produktu, kas var atklāt un noņemt Trojas zirgus un reklāmprogrammatūru. Izglītojiet lietotājus un darbiniekus par sociālās inženierijas taktiku, kas veicina sānu ielādi un atļauju piešķiršanu.

    Kopsavilkums — BankBot uztveršana kā augsta riska robots

    BankBot ir slepens, daudzfunkcionāls Android RAT, kas apvieno piekļuves ļaunprātīgu izmantošanu, vides pārbaudes, pastāvīgus ieplānotus uzdevumus, lietotāja interfeisa automatizāciju un mērķtiecīgu banku un kriptoaktīvu zādzību. Tā kā pastāv nopietnu finansiālu un privātuma kaitējumu potenciāls, jebkura aizdomīga inficēšanās jārisina steidzami: jānoņem ļaunprogrammatūra, jānodrošina kontu aizsardzība no tīras ierīces un jāveic iepriekš minētie preventīvie pasākumi, lai samazinātu turpmāku inficēšanos.

    Tendences

    Visvairāk skatīts

    Ļaunprātīga programmatūra

    Pikšķerēšana, Mēstules
    32,906
    Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
    Notiek ielāde...