Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie BankBot RAT

BankBot RAT

Do Mezo w Mobilne złośliwe oprogramowanie, Narzędzia do zdalnej administracji
Przetłumacz na:

BankBot to potężny trojan zdalnego dostępu na Androida, który po zainstalowaniu może przejąć rozległą kontrolę nad urządzeniem. Wykorzystuje funkcje ułatwień dostępu Androida do eskalacji uprawnień, automatyzacji działań w interfejsie użytkownika, gromadzenia poufnych informacji i wykonywania nieautoryzowanych operacji, które mogą prowadzić do oszustw finansowych, kradzieży tożsamości i instalacji złośliwego oprogramowania. Każda potwierdzona infekcja wymaga natychmiastowego usunięcia.

Ukrywanie i profilowanie urządzeń

BankBot aktywnie unika analizy i atakuje tylko wybrane środowiska. Przeprowadza testy emulatora i środowiska testowego, sprawdza atrybuty urządzenia (markę, model, pamięć ROM) i dostosowuje swoje zachowanie, aby działać na wybranych rzeczywistych urządzeniach, a jednocześnie pozostawać w trybie uśpienia lub unikać ataków w środowiskach laboratoryjnych. Szkodliwe oprogramowanie gromadzi również i rejestruje dane telemetryczne urządzenia – wersję i kompilację systemu Android, markę i model, producenta, identyfikatory sprzętu i kompilacji oraz nazwę produktu – aby profilować cele i pomijać nieobsługiwane urządzenia.

Zdobywanie kontroli: nadużywanie dostępności i ciche utrzymywanie się

Podstawową taktyką jest nadużywanie usług ułatwień dostępu. BankBot może otworzyć Ustawienia ułatwień dostępu i za pomocą socjotechniki nakłonić użytkownika do włączenia złośliwej usługi ułatwień dostępu; dzięki temu uprawnieniu może automatyzować kliknięcia, wprowadzać tekst, włączać inne uprawnienia i wykonywać działania bez zgody użytkownika. Może również uzyskać uprawnienia administratora urządzenia. Aby przetrwać ponowne uruchomienia i utrzymać długoterminowy dostęp, złośliwe oprogramowanie planuje cykliczne zadanie (mniej więcej co 30 sekund), które wymaga połączenia sieciowego i jest powtarzane po ponownym uruchomieniu urządzenia.

Możliwości — co BankBot potrafi

Zestaw funkcji BankBota zapewnia mu niemal pełną kontrolę nad zainfekowanym telefonem. Do jego najważniejszych funkcji należą: wyciszanie dźwięku systemowego w celu blokowania alertów (dzwonków, powiadomień i multimediów), wyświetlanie fałszywych komunikatów na pełnym ekranie (np. „Weryfikacja danych osobowych”) w celu odwrócenia uwagi ofiar podczas aktywacji uprawnień oraz dyskretne włączanie usług i statusu administratora. Potrafi programowo otwierać lub zamykać aplikacje, odświeżać ekrany, symulować dotknięcia i przesunięcia, odblokowywać ekran, sterować przekierowywaniem połączeń, wysyłać wiadomości SMS, instalować lub odinstalowywać pliki APK, pobierać pliki, robić zdjęcia i zrzuty ekranu, ukrywać okna oraz wstawiać tekst do pól wprowadzania. Szkodliwe oprogramowanie potrafi również odczytywać schowek Androida i wykradać jego zawartość – ujawniając hasła, frazy kluczowe i inne poufne informacje – a także przechwytywać kontakty, SMS-y, listy zainstalowanych aplikacji, status urządzenia i geolokalizację.

Ataki na bankowość i kryptowaluty — które aplikacje są zagrożone

BankBot otrzymuje instrukcje z serwera poleceń i kontroli, który dostarcza listę aplikacji finansowych i bankowych, które mogą być celem kradzieży danych uwierzytelniających lub oszukańczych transakcji. Celowo atakuje również wiele portfeli kryptowalut, automatyzując interfejsy użytkownika aplikacji portfela za pomocą funkcji dostępności, aby odczytać wrażliwe artefakty, takie jak frazy początkowe, klucze prywatne czy szczegóły transakcji. Przykłady zaobserwowanych ataków na portfele obejmują:

  • AUTOS, Bitcoin, BitKeep, portfel Blockchain, portfel Coin98 Super, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (portfel kryptowalutowy Ethereum), TokenPocket, Trust Wallet, Valor.

Techniki oszukiwania i maskowanie aplikacji

Aby zmniejszyć podejrzenia, BankBot może zmienić swoją ikonę i nazwę, podszywając się pod legalne usługi (na przykład podszywając się pod Google News), a następnie otwierać w WebView treści internetowe wyglądające na zaufane. Te kosmetyczne zmiany, w połączeniu z fałszywymi monitami przypominającymi reCAPTCHA lub pełnoekranowymi oknami dialogowymi weryfikacji, mają na celu nakłonienie użytkowników do udzielenia uprawnień lub interakcji z aplikacją, podczas gdy w tle działają złośliwe działania.

Jak użytkownicy zazwyczaj trafiają na BankBot

W wielu przypadkach ofiary same instalują BankBota po tym, jak zostały oszukane. Typowe drogi infekcji to:

  • Pobieranie plików APK z witryn kontrolowanych przez atakujących lub sklepów osób trzecich.
  • Fałszywe lub złośliwe aplikacje rozpowszechniane za pośrednictwem niezaufanych repozytoriów aplikacji.
  • Instalacje lub pobieranie plików za pośrednictwem oszukańczych reklam i okien pop-up na podejrzanych stronach.
  • Linki w wiadomościach SMS, aplikacjach do przesyłania wiadomości lub wiadomościach phishingowych.

Kluczową rolę w dystrybucji odgrywają inżynieria społeczna: przestępcy tworzą atrakcyjne przynęty, aby nakłonić użytkowników do pobrania i uruchomienia złośliwego oprogramowania.

Ryzyka i oczekiwany wpływ

Zainfekowane urządzenie może paść ofiarą przejęcia konta, nieautoryzowanych transakcji finansowych, kradzieży tożsamości i utraty prywatności. Połączenie nadużyć w zakresie dostępności, cichego utrzymywania się systemu, profilowania urządzeń oraz ukierunkowanych ataków na aplikacje bankowe i kryptowalutowe sprawia, że BankBot jest szczególnie niebezpieczny dla użytkowników posiadających na telefonach aplikacje finansowe lub portfele kryptowalutowe.

Natychmiastowe kroki w celu powstrzymania i odzyskania

  • Cofnij podejrzane uprawnienia: usuń uprawnienia dostępności i powiadomień dla nieznanych aplikacji i cofnij uprawnienia administratora urządzenia.
  • Odinstaluj złośliwe aplikacje i przeprowadź pełne skanowanie przy użyciu sprawdzonego produktu zabezpieczającego urządzenia mobilne.
  • Zmień hasła i włącz uwierzytelnianie wieloskładnikowe dla kont finansowych i wszelkich usług używanych na urządzeniu — zrób to na czystym urządzeniu.
  • Skontaktuj się z bankiem lub dostawcą portfela, jeśli podejrzewasz oszustwo i monitoruj konta pod kątem nieautoryzowanych transakcji.
  • Jeśli frazy startowe lub klucze prywatne zostały ujawnione, przenieś środki na nowe adresy portfeli, których klucze zostały wygenerowane na czystym urządzeniu.

    • Zapobieganie

    Aktualizuj system operacyjny i aplikacje urządzenia, unikaj pobierania plików APK z nieznanych źródeł i instalowania aplikacji z nieznanych źródeł, wyłącz automatyczną instalację z nieznanych źródeł, zachowaj ostrożność w przypadku monitów o włączenie ułatwień dostępu lub funkcji administratora urządzenia oraz korzystaj z zaufanego produktu zabezpieczającego urządzenia mobilnego, który wykrywa i usuwa trojany i adware. Uświadom użytkowników i pracowników na temat taktyk socjotechnicznych, które ułatwiają pobieranie plików APK z nieznanych źródeł i udzielanie uprawnień.

    Podsumowanie — traktuj BankBota jako wysokiego ryzyka

    BankBot to ukryty, bogaty w funkcje trojan RAT dla systemu Android, który łączy w sobie nadużycia w zakresie dostępności, sprawdzanie środowiska, stałe zadania zaplanowane, automatyzację interfejsu użytkownika oraz ukierunkowaną kradzież zasobów bankowych i kryptowalut. Ze względu na potencjalne poważne szkody finansowe i naruszenie prywatności, każde podejrzenie infekcji należy traktować jako pilne: usuń złośliwe oprogramowanie, zabezpiecz konta na czystym urządzeniu i podejmij powyższe kroki zapobiegawcze, aby zminimalizować ryzyko w przyszłości.

    Popularne

    Najczęściej oglądane

    Ładowanie...