Знижка на кілька ліцензій
База даних загроз Мобільні шкідливі програми BankBot RAT

BankBot RAT

До Mezo року в Мобільні шкідливі програми, Засоби віддаленого адміністрування році
Перекласти на:

BankBot — це потужний троян віддаленого доступу для Android, який після встановлення може отримати значний контроль над пристроєм. Він використовує функції спеціальних можливостей Android для підвищення привілеїв, автоматизації дій в інтерфейсі користувача, збору конфіденційної інформації та виконання несанкціонованих операцій, які можуть призвести до фінансового шахрайства, крадіжки особистих даних та розгортання шкідливого програмного забезпечення. Будь-яке підтверджене зараження вимагає негайного усунення.

Прихованість та профілювання пристроїв

BankBot активно уникає аналізу та атакує лише вибрані середовища. Він виконує перевірки емулятора та пісочниці, перевіряє атрибути пристроїв (марку, модель, ПЗП) та налаштовує свою поведінку таким чином, щоб він працював на вибраних реальних пристроях, залишаючись при цьому неактивним або невидимим у лабораторних середовищах. Шкідливе програмне забезпечення також збирає та реєструє телеметрію пристроїв — версію та збірку Android, марку та модель, виробника, ідентифікатори обладнання та збірки, а також назву продукту — для профілювання цілей та пропускання непідтримуваних пристроїв.

Отримання контролю: Зловживання доступністю та мовчазна наполегливість

Основною тактикою є зловживання сервісами доступності. BankBot може відкрити налаштування доступності та соціально змусити користувача ввімкнути шкідливий сервіс доступності; маючи цей дозвіл, він може автоматизувати кліки, вводити текст, вмикати інші дозволи та виконувати дії без згоди користувача. Він також може отримати права адміністратора пристрою. Щоб вижити після перезавантажень та підтримувати довгостроковий доступ, шкідливе програмне забезпечення планує повторюване завдання (приблизно кожні 30 секунд), яке вимагає підключення до мережі та залишається активним після перезавантаження пристрою.

Можливості — що може робити BankBot

Набір функцій BankBot надає йому майже повний контроль над зараженим телефоном. Основні можливості включають: вимкнення системного звуку для придушення сповіщень (мелодій дзвінка, сповіщень, медіа), відображення фальшивих підказок на весь екран (наприклад, «Перевірка особистої інформації») для відволікання жертв під час активації дозволів, а також непомітне ввімкнення служб і статусу адміністратора. Він може програмно відкривати або закривати програми, оновлювати екрани, імітувати дотики та свайпи, розблоковувати екран, керувати переадресацією викликів, надсилати SMS-повідомлення, встановлювати або видаляти APK-файли, завантажувати файли, робити фотографії та знімки екрана, приховувати вікна та вставляти текст у поля введення. Шкідливе програмне забезпечення також може зчитувати буфер обміну Android та витягувати його вміст, розкриваючи паролі, основні фрази та інші секрети, а також захоплювати контакти, SMS, списки встановлених програм, стан пристрою та геолокацію.

Банківська справа та криптовалюта: які додатки під загрозою

BankBot отримує інструкції від командно-контрольного сервера, який надає список фінансових та банківських додатків для атаки на крадіжку облікових даних або шахрайські транзакції. Він також цілеспрямовано атакує багато криптовалютних гаманців, автоматизуючи інтерфейси додатків-гаманців через доступність для зчитування конфіденційних артефактів, таких як початкові фрази, закриті ключі або деталі транзакцій. Приклади спостережуваних гаманців-цілей включають:

  • AUTOS, Bitcoin, BitKeep, гаманець Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (криптогаманець Ethereum), TokenPocket, Trust Wallet, Valor.

Методи обману та маскування додатків

Щоб зменшити підозри, BankBot може змінити свою іконку та назву, щоб видати себе за легітимні сервіси (наприклад, представляючи себе як Google News), а потім відкривати веб-контент, що виглядає надійним, у WebView. Ці косметичні зміни, у поєднанні з підробленими запитами, схожими на reCAPTCHA, або повноекранними діалоговими вікнами перевірки, використовуються для того, щоб обманом змусити користувачів надати дозволи або взаємодіяти з додатком, поки шкідливі дії виконуються у фоновому режимі.

Як користувачі зазвичай потрапляють на BankBot

У багатьох випадках жертви самі встановлюють BankBot після того, як їх обманули. Звичайні шляхи зараження включають:

  • Завантаження APK-файлів із сайтів, контрольованих зловмисниками, або сторонніх магазинів.
  • Підроблені або шкідливі програми, що розповсюджуються через ненадійні репозиторії програм.
  • Побічні встановлення або завантаження з оманливої реклами та спливаючих вікон на сумнівних сайтах.
  • Посилання в SMS, додатках для обміну повідомленнями або фішингових електронних листах.

Соціальна інженерія є центральною для розповсюдження: злочинці створюють переконливі приманки, щоб спонукати користувачів завантажити та запустити шкідливе програмне забезпечення.

Ризики та очікуваний вплив

Заражений пристрій може постраждати від захоплення облікового запису, несанкціонованих фінансових транзакцій, крадіжки особистих даних та втрати конфіденційності. Поєднання зловживання доступністю, мовчазної стійкості, профілювання пристроїв та цілеспрямованих атак на банківські та крипто-додатки робить BankBot особливо небезпечним для користувачів з фінансовими додатками або криптогаманцями на телефонах.

Негайні заходи щодо стримування та відновлення

  • Скасувати підозрілі дозволи: скасувати дозволи на доступність і сповіщення для невідомих програм і скасувати права адміністратора пристрою.
  • Видаліть шкідливі програми та проведіть повне сканування за допомогою надійного продукту для мобільної безпеки.
  • Змініть паролі та ввімкніть багатофакторну автентифікацію для фінансових облікових записів і будь-яких сервісів, що використовуються на пристрої — робіть це з чистого пристрою.
  • Зверніться до банків або постачальників гаманців, якщо підозрюєте шахрайську діяльність, та відстежуйте облікові записи на наявність несанкціонованих транзакцій.
  • Якщо було розкрито початкові фрази або закриті ключі, переведіть кошти на нові адреси гаманців, ключі яких були згенеровані на чистому пристрої.

    • Профілактика

    Оновлюйте ОС та програми пристрою, уникайте завантаження APK-файлів або встановлення програм з ненадійних джерел, вимкніть автоматичне встановлення з невідомих джерел, ставтеся з підозрою до запитів на ввімкнення функцій спеціальних можливостей або адміністрування пристрою та використовуйте надійний продукт мобільної безпеки, який може виявляти та видаляти трояни та рекламне програмне забезпечення. Навчайте користувачів та співробітників тактикам соціальної інженерії, які сприяють завантаженню та наданню дозволів.

    Підсумок — Ставтеся до BankBot як до високоризикового

    BankBot — це прихований, багатофункціональний Android RAT, який поєднує в собі порушення доступності, перевірки середовища, постійні заплановані завдання, автоматизацію інтерфейсу користувача та цілеспрямовану крадіжку банківських і криптоактивів. Через потенціал серйозної фінансової шкоди та шкоди для конфіденційності, будь-яке підозрюване зараження слід розглядати як термінове: видаліть шкідливе програмне забезпечення, захистіть облікові записи з чистого пристрою та вживайте вищезазначених профілактичних заходів, щоб зменшити ризик зараження в майбутньому.

    В тренді

    Шахрайство з порушенням безпеки гаманця Trust

    Шахрайські веб-сайти
    Оскільки онлайн-шахрайство продовжує розвиватися, користувачі повинні залишатися пильними під час навігації в Інтернеті, особливо під час роботи з цифровими активами. Кіберзлочинці постійно...

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    32,906
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

    Fuq.com

    Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
    23,337
    Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
    Завантаження...