Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре БанкБот РАТ

БанкБот РАТ

До Mezo. у Мобиле Малваре, Алати за удаљену администрацију
Преведи на:

BankBot је моћан тројански вирус за даљински приступ на Андроиду који, након инсталирања, може да преузме опсежну контролу над уређајем. Користи Андроидове функције приступачности за ескалацију привилегија, аутоматизацију радњи корисничког интерфејса, прикупљање осетљивих информација и обављање неовлашћених операција које могу довести до финансијских превара, крађе идентитета и постављања злонамерног софтвера. Свака потврђена инфекција захтева хитну санацију.

Прикривеност и профилисање уређаја

BankBot активно избегава анализу и циља само одабрана окружења. Врши провере емулатора и „песочњака“, испитује атрибуте уређаја (марку, модел, ROM) и прилагођава своје понашање тако да ради на одабраним стварним уређајима, док остаје неактиван или избегавајући у лабораторијским окружењима. Злонамерни софтвер такође прикупља и евидентира телеметрију уређаја — верзију и израду Андроида, марку и модел, произвођача, хардвер и ИД-ове израде, као и назив производа — како би профилисао циљеве и прескочио неподржане уређаје.

Преузимање контроле: Злоупотреба приступачности и тиха истрајност

Основна тактика је злоупотреба услуга приступачности. BankBot може да отвори Подешавања приступачности и да социјалним инжењерингом наведе корисника да омогући злонамерну услугу приступачности; са том дозволом, може да аутоматизује кликове, уноси текст, омогућава друге дозволе и извршава радње без сагласности корисника. Такође може да добије права администратора уређаја. Да би преживео поновна покретања и одржао дугорочни приступ, злонамерни софтвер заказује понављајући задатак (отприлике сваких 30 секунди) који захтева мрежну везу и опстаје након поновних покретања уређаја.

Могућности — Шта BankBot може да уради

БанкБот-ов скуп функција му даје готово потпуну контролу над зараженим телефоном. Кључне могућности укључују: искључивање системског звука ради сузбијања упозорења (мелодије звона, обавештења, медији), приказивање лажних упита преко целог екрана (на пример, „Верификација личних података“) ради одвлачења пажње жртвама док активира дозволе и тихо омогућавање услуга и статуса администратора. Може програмски отварати или затварати апликације, освежавати екране, симулирати додире и превлачења, откључавати екран, контролисати преусмеравање позива, слати СМС поруке, инсталирати или деинсталирати АПК датотеке, преузимати датотеке, снимати фотографије и снимке екрана, сакривати прозоре и постављати текст у поља за унос. Злонамерни софтвер такође може да чита Андроид међуспремник и извуче његов садржај — откривајући лозинке, почетне фразе и друге тајне — и снима контакте, СМС поруке, листе инсталираних апликација, статус уређаја и геолокацију.

Циљање банкарства и криптовалута — које су апликације у опасности

БанкБот прима инструкције од командно-контролног сервера који доставља листу финансијских и банкарских апликација за циљање ради крађе акредитива или преварних трансакција. Такође, посебно циља многе криптовалутне новчанике аутоматизацијом корисничких интерфејса апликација новчаника путем приступачности како би читао осетљиве артефакте као што су почетне фразе, приватни кључеви или детаљи трансакција. Примери уочених мета новчаника укључују:

  • АУТОС, Биткоин, Биткип, Блокчејн новчаник, Coin98 Супер новчаник, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum крипто новчаник), TokenPocket, Trust новчаник, Valor.

Технике обмане и маскирање апликација

Да би смањио сумњу, BankBot може да промени своју икону и име како би се представљао као легитимне услуге (на пример, представљајући се као Google вести), а затим да отвори веб садржај који делује поуздано унутар WebView-а. Ове козметичке промене, у комбинацији са лажним reCAPTCHA упитима или дијалозима за верификацију преко целог екрана, користе се да преваре кориснике да дају дозволе или интерагују са апликацијом док се злонамерне радње извршавају у позадини.

Како корисници обично долазе на BankBot

У многим случајевима, жртве саме инсталирају BankBot након што су преварене. Уобичајени путеви инфекције укључују:

  • Бочно учитавање APK-ова са сајтова које контролишу нападачи или из продавница трећих страна.
  • Лажне или злонамерне апликације дистрибуиране преко непоузданих репозиторијума апликација.
  • Инсталације или преузимања путем обмањујућих огласа и искачућих прозора на сумњивим сајтовима.
  • Линкови у СМС-овима, апликацијама за размену порука или фишинг имејловима.

Социјални инжењеринг је кључан за дистрибуцију: криминалци креирају убедљиве мамце како би наговорили кориснике да преузму и покрену злонамерни софтвер.

Ризици и очекивани утицај

Заражени уређај може претрпети преузимање налога, неовлашћене финансијске трансакције, крађу идентитета и губитак приватности. Комбинација злоупотребе приступачности, тихе истрајности, профилисања уређаја и циљаних напада на банкарске и крипто апликације чини BankBot посебно опасним за кориснике са финансијским апликацијама или крипто новчаницима на својим телефонима.

Непосредне мере за обуздавање и опоравак

  • Поништите сумњиве дозволе: уклоните дозволе за приступачност и обавештења за непознате апликације и поништите права администратора уређаја.
  • Деинсталирајте злонамерне апликације и покрените потпуно скенирање помоћу реномираног производа за мобилну безбедност.
  • Промените лозинке и омогућите вишефакторску аутентификацију за финансијске рачуне и све услуге које се користе на уређају — урадите то са чистог уређаја.
  • Обратите се банкама или добављачима новчаника ако сумњате на преварне активности и пратите рачуне због неовлашћених трансакција.
  • Ако су откривене почетне фразе или приватни кључеви, преместите средства на нове адресе новчаника чији су кључеви генерисани на чистом уређају.

Превенција

Редовно ажурирајте оперативни систем и апликације уређаја, избегавајте бочно учитавање APK-ова или инсталирање апликација из непоузданих извора, онемогућите аутоматску инсталацију из непознатих извора, будите сумњичави према упитима која траже да омогућите функције приступачности или администратора уређаја и користите поуздан производ за мобилну безбедност који може да открије и уклони тројанске коње и адвер. Едукујте кориснике и запослене о тактикама социјалног инжењеринга које олакшавају бочно учитавање и додељивање дозвола.

Резиме — Третирајте BankBot као високоризичан

BankBot је прикривени, богат функцијама Андроид RAT који комбинује злоупотребу приступачности, провере окружења, сталне заказане задатке, аутоматизацију корисничког интерфејса и циљану крађу банкарских и крипто средстава. Због потенцијала за озбиљну финансијску и штету по приватност, сваку сумњу на инфекцију треба третирати као хитну: уклоните злонамерни софтвер, обезбедите налоге са чистог уређаја и предузмите горе наведене превентивне кораке како бисте смањили будућу изложеност.

У тренду

Тропицал Ектенсион

Потенцијално нежељени програми, Отмичари претраживача
Тропицал Ектенсион је део сумњивог софтвера који је био под лупом стручњака за сајбер безбедност током њихове истраге сумњивих веб локација. У почетку, то је корисно проширење које корисницима нуди...

Превара кршења безбедности новчаника поверења

Рогуе Вебситес
Како се онлајн преваре стално развијају, корисници морају остати опрезни приликом навигације интернетом, посебно када рукују дигиталном имовином. Сајбер криминалци стално стварају убедљиве реплике...

Најгледанији

Злонамерних програма

Пецање, Спам
32,906
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...