BankBot RAT
BankBot — мощный троян для удалённого доступа к Android, который после установки может получить полный контроль над устройством. Он использует функции специальных возможностей Android для повышения привилегий, автоматизации действий пользовательского интерфейса, сбора конфиденциальной информации и выполнения несанкционированных операций, которые могут привести к финансовому мошенничеству, краже личных данных и внедрению вредоносного ПО. Любое подтверждённое заражение требует немедленного устранения.
Оглавление
Скрытность и профилирование устройств
BankBot активно избегает анализа и атакует только выбранные среды. Он выполняет проверки в эмуляторах и «песочницах», проверяет атрибуты устройств (марку, модель, ПЗУ) и корректирует своё поведение, чтобы работать на выбранных реальных устройствах, оставаясь пассивным или неактивным в лабораторных условиях. Вредоносная программа также собирает и регистрирует телеметрические данные устройств — версию и сборку Android, марку и модель, производителя, идентификаторы оборудования и сборки, а также название продукта — для профилирования целей и пропуска неподдерживаемых устройств.
Получение контроля: злоупотребление доступом и молчаливое упорство
Основная тактика — злоупотребление службами специальных возможностей. BankBot может открыть настройки специальных возможностей и с помощью социальной инженерии заставить пользователя включить вредоносную службу специальных возможностей. С этим разрешением он может автоматизировать нажатия, ввод текста, активировать другие разрешения и выполнять действия без согласия пользователя. Он также может получить права администратора устройства. Чтобы пережить перезагрузку и сохранить долгосрочный доступ, вредоносная программа планирует повторяющуюся задачу (примерно каждые 30 секунд), требующую подключения к сети и сохраняющуюся после перезапуска устройства.
Возможности — что может BankBot
Набор функций BankBot обеспечивает ему практически полный контроль над зараженным телефоном. Ключевые возможности включают: отключение звука системы для подавления оповещений (рингтонов, уведомлений, мультимедиа), отображение поддельных полноэкранных запросов (например, «Проверка личной информации») для отвлечения жертвы во время активации разрешений, а также скрытое включение служб и статуса администратора. BankBot может программно открывать и закрывать приложения, обновлять экраны, имитировать касания и свайпы, разблокировать экран, управлять переадресацией вызовов, отправлять SMS-сообщения, устанавливать и удалять APK-файлы, загружать файлы, делать фотографии и снимки экрана, скрывать окна и вводить текст в поля ввода. Вредоносная программа также может читать буфер обмена Android и извлекать его содержимое, раскрывая пароли, фразы-источники и другие секретные данные, а также собирать контакты, SMS, списки установленных приложений, статус устройства и геолокацию.
Атаки на банковскую сферу и криптовалюту: какие приложения подвержены риску?
BankBot получает инструкции от сервера управления, который предоставляет список финансовых и банковских приложений, предназначенных для кражи учётных данных или мошеннических транзакций. Он также целенаправленно атакует множество криптовалютных кошельков, автоматизируя пользовательские интерфейсы приложений кошельков через специальные возможности для считывания конфиденциальных данных, таких как начальные фразы, приватные ключи или сведения о транзакциях. Примеры наблюдаемых целей для кошельков:
- AUTOS, Bitcoin, BitKeep, Blockchain-кошелек, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (криптокошелек Ethereum), TokenPocket, Trust Wallet, Valor.
Методы обмана и маскировка приложений
Чтобы снизить подозрения, BankBot может изменить свой значок и название, выдавая себя за легитимные сервисы (например, выдавая себя за Google News), а затем открывать в WebView веб-контент, выглядящий как надежный. Эти косметические изменения в сочетании с поддельными запросами, похожими на reCAPTCHA, или полноэкранными диалоговыми окнами проверки используются для того, чтобы обманным путем заставить пользователей предоставить разрешения или взаимодействовать с приложением, пока вредоносные действия выполняются в фоновом режиме.
Как пользователи обычно попадают на BankBot
Во многих случаях жертвы сами устанавливают BankBot после того, как их обманули. Распространенные пути заражения:
- Загрузка APK-файлов с сайтов, контролируемых злоумышленниками, или из сторонних магазинов.
- Поддельные или вредоносные приложения, распространяемые через ненадежные репозитории приложений.
- Несанкционированные установки или загрузки через обманную рекламу и всплывающие окна на сомнительных сайтах.
- Ссылки в SMS-сообщениях, приложениях для обмена сообщениями или фишинговых письмах.
Социальная инженерия играет центральную роль в распространении: преступники создают убедительные приманки, чтобы убедить пользователей загрузить и запустить вредоносное ПО.
Риски и ожидаемое воздействие
Заражённое устройство может стать причиной захвата учётных записей, несанкционированных финансовых транзакций, кражи личных данных и потери конфиденциальности. Сочетание злоупотреблений доступом, скрытой активности, профилирования устройств и целевых атак на банковские и криптоприложения делает BankBot особенно опасным для пользователей финансовых приложений или криптокошельков на своих телефонах.
Немедленные меры по локализации и восстановлению
Профилактика
Поддерживайте актуальность ОС и приложений устройства, избегайте загрузки APK-файлов или установки приложений из ненадежных источников, отключайте автоматическую установку из неизвестных источников, с подозрением относитесь к запросам на включение специальных возможностей или функций администратора устройства и используйте надежный продукт для мобильной безопасности, способный обнаруживать и удалять трояны и рекламное ПО. Расскажите пользователям и сотрудникам о методах социальной инженерии, которые облегчают загрузку сторонних приложений и предоставление разрешений.
Резюме — Относитесь к BankBot как к высокорискованному ресурсу
BankBot — это скрытое, многофункциональное RAT-приложение для Android, сочетающее в себе злоупотребление доступом, проверку среды, выполнение постоянных запланированных задач, автоматизацию пользовательского интерфейса и целенаправленную кражу банковских и криптоактивов. В связи с потенциальным серьёзным финансовым ущербом и угрозой конфиденциальности, любое подозрение на заражение следует рассматривать как неотложное: удалить вредоносное ПО, защитить учётные записи на чистом устройстве и принять указанные выше профилактические меры для снижения риска заражения в будущем.
