Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil BankBot RAT

BankBot RAT

Până în Mezo în Malware mobil, Instrumente de administrare la distanță
Tradu in:

BankBot este un troian puternic pentru Android, care, odată instalat, poate prelua controlul extins asupra unui dispozitiv. Acesta utilizează funcțiile de accesibilitate ale Android pentru a escalada privilegii, a automatiza acțiunile din interfața utilizatorului, a colecta informații sensibile și a efectua operațiuni neautorizate care pot duce la fraude financiare, furt de identitate și implementare de programe malware. Orice infecție confirmată necesită remediere imediată.

Stealth și profilarea dispozitivelor

BankBot evită în mod activ analiza și vizează doar mediile selectate. Efectuează verificări ale emulatorului și sandbox-ului, inspectează atributele dispozitivului (marca, modelul, ROM-ul) și își ajustează comportamentul astfel încât să ruleze pe anumite dispozitive reale, rămânând în timp ce este inactiv sau evaziv în mediile de laborator. De asemenea, malware-ul colectează și înregistrează date telemetrice despre dispozitive - versiunea și versiunea Android, marca și modelul, producătorul, ID-urile hardware și de versiune, precum și numele produsului - pentru a profila țintele și a omite dispozitivele necompatibile.

Obținerea controlului: Abuz de accesibilitate și persistență silențioasă

O tactică principală este abuzul de servicii de accesibilitate. BankBot poate deschide Setările de accesibilitate și poate induce în mod social utilizatorul în eroare pentru a activa un serviciu de accesibilitate rău intenționat; cu această permisiune, poate automatiza clicuri, poate introduce text, poate activa alte permisiuni și poate efectua acțiuni fără consimțământul utilizatorului. De asemenea, poate obține drepturi de administrator al dispozitivului. Pentru a supraviețui repornirilor și a menține accesul pe termen lung, malware-ul programează o sarcină recurentă (aproximativ la fiecare 30 de secunde) care necesită conectivitate la rețea și persistă după repornirea dispozitivului.

Capacități — Ce poate face BankBot

Setul de funcții al BankBot îi oferă control aproape complet asupra unui telefon infectat. Printre capacitățile cheie se numără: dezactivarea sunetului sistemului pentru a suprima alertele (tonuri de apel, notificări, media), afișarea de solicitări false pe ecran complet (de exemplu, „Verificarea informațiilor personale”) pentru a distrage atenția victimelor în timp ce activează permisiunile și activarea silențioasă a serviciilor și a stării de administrator. Poate deschide sau închide programatic aplicații, poate reîmprospăta ecranele, poate simula atingeri și glisări, poate debloca ecranul, poate controla redirecționarea apelurilor, poate trimite mesaje SMS, poate instala sau dezinstala fișiere APK, poate descărca fișiere, poate face fotografii și capturi de ecran, poate ascunde ferestre și poate seta text în câmpurile de introducere. De asemenea, malware-ul poate citi clipboard-ul Android și poate exfiltra conținutul acestuia - expunând parole, fraze inițiale și alte secrete - și poate captura contacte, SMS-uri, liste de aplicații instalate, starea dispozitivului și geolocalizarea.

Vizarea serviciilor bancare și a criptomonedelor — Ce aplicații sunt în pericol

BankBot primește instrucțiuni de la un server de comandă și control care furnizează o listă de aplicații financiare și bancare care pot fi vizate pentru furtul de credențiale sau tranzacțiile frauduloase. De asemenea, vizează în mod specific multe portofele de criptomonede prin automatizarea interfețelor utilizatorilor aplicațiilor portofel prin intermediul Accesibilității pentru a citi artefacte sensibile, cum ar fi fraze inițiale, chei private sau detalii despre tranzacții. Exemple de ținte observate pentru portofele includ:

  • AUTOS, Bitcoin, BitKeep, portofel Blockchain, portofelul Coin98 Super, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (portofel cripto Ethereum), TokenPocket, portofel Trust, Valor.

Tehnici de înșelăciune și mascarea aplicațiilor

Pentru a reduce suspiciunile, BankBot își poate schimba pictograma și numele pentru a se da drept servicii legitime (de exemplu, prezentându-se drept Google News) și apoi poate deschide conținut web cu aspect de încredere într-un WebView. Aceste modificări cosmetice, combinate cu solicitări false de tip reCAPTCHA sau dialoguri de verificare pe tot ecranul, sunt folosite pentru a păcăli utilizatorii să acorde permisiuni sau să interacționeze cu aplicația în timp ce acțiuni rău intenționate rulează în fundal.

Cum ajung utilizatorii de obicei pe BankBot

În multe cazuri, victimele instalează singure BankBot după ce au fost înșelate. Căile comune de infectare includ:

  • Încărcarea laterală a fișierelor APK de pe site-uri controlate de atacatori sau de pe magazine terțe.
  • Aplicații false sau rău intenționate distribuite prin intermediul unor depozite de aplicații nesigure.
  • Instalări sau descărcări automate din reclame și ferestre pop-up înșelătoare de pe site-uri dubioase.
  • Linkuri în SMS-uri, aplicații de mesagerie sau e-mailuri de phishing.

Ingineria socială este esențială pentru distribuție: infractorii creează momeli convingătoare pentru a convinge utilizatorii să descarce și să ruleze malware-ul.

Riscuri și impact preconizat

Un dispozitiv infectat poate suferi preluări de conturi, tranzacții financiare neautorizate, furt de identități și pierderea confidențialității. Combinația dintre abuzul de accesibilitate, persistența silențioasă, profilarea dispozitivului și atacurile direcționate împotriva aplicațiilor bancare și cripto face ca BankBot să fie deosebit de periculos pentru utilizatorii cu aplicații financiare sau portofele cripto pe telefoanele lor.

Măsuri imediate de izolare și recuperare

  • Revocarea permisiunilor suspecte: eliminați permisiunile de accesibilitate și notificare pentru aplicațiile necunoscute și revocați drepturile de administrator al dispozitivului.
  • Dezinstalați aplicațiile rău intenționate și rulați o scanare completă cu un produs de securitate mobil de încredere.
  • Schimbați parolele și activați autentificarea multi-factor pentru conturile financiare și orice servicii utilizate pe dispozitiv — faceți acest lucru de pe un dispozitiv curat.
  • Contactați băncile sau furnizorii de portofele electronice dacă suspectați activități frauduloase și monitorizați conturile pentru tranzacții neautorizate.
  • Dacă au fost expuse fraze inițiale sau chei private, mutați fondurile către adrese noi de portofel ale căror chei au fost generate pe un dispozitiv curat.

    • Prevenirea

    Mențineți sistemul de operare și aplicațiile dispozitivului actualizate, evitați încărcarea laterală a fișierelor APK sau instalarea de aplicații din surse nesigure, dezactivați instalarea automată din surse necunoscute, fiți suspicioși de solicitările care vă solicită să activați funcțiile de accesibilitate sau de administrare a dispozitivului și utilizați un produs de securitate mobilă de încredere, care poate detecta și elimina troienii și adware-ul. Educați utilizatorii și angajații cu privire la tacticile de inginerie socială care facilitează încărcarea laterală și acordarea de permisiuni.

    Rezumat — Tratați BankBot ca fiind cu risc ridicat

    BankBot este un RAT Android discret și bogat în funcții, care combină abuzul de accesibilitate, verificări ale mediului, sarcini programate persistente, automatizarea interfeței utilizator și furtul țintit al activelor bancare și cripto. Din cauza potențialului său de a provoca daune financiare și confidențialității grave, orice suspiciune de infecție trebuie tratată urgent: eliminați malware-ul, securizați conturile de pe un dispozitiv curat și luați măsurile preventive de mai sus pentru a reduce expunerea viitoare.

    Trending

    Cele mai văzute

    Se încarcă...