Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Chuột BankBot

Chuột BankBot

Đến năm Mezo năm Phần mềm độc hại di động, Công cụ quản lý từ xa
Dịch sang:

BankBot là một trojan truy cập từ xa mạnh mẽ trên Android, một khi được cài đặt, có thể chiếm quyền kiểm soát toàn diện thiết bị. Nó lợi dụng các tính năng Trợ năng của Android để leo thang đặc quyền, tự động hóa các thao tác trên giao diện người dùng, thu thập thông tin nhạy cảm và thực hiện các hoạt động trái phép có thể dẫn đến gian lận tài chính, đánh cắp danh tính và triển khai phần mềm độc hại. Bất kỳ trường hợp nhiễm trùng nào được xác nhận đều cần được khắc phục ngay lập tức.

Tàng hình và Lập hồ sơ thiết bị

BankBot chủ động tránh phân tích và chỉ nhắm mục tiêu vào các môi trường được chọn. Nó thực hiện kiểm tra trình giả lập và hộp cát, kiểm tra các thuộc tính thiết bị (hãng sản xuất, model, ROM) và điều chỉnh hành vi để chạy trên các thiết bị thực được chọn trong khi vẫn ở trạng thái không hoạt động hoặc ẩn náu trong môi trường phòng thí nghiệm. Phần mềm độc hại này cũng thu thập và ghi lại dữ liệu từ xa của thiết bị — phiên bản và bản dựng Android, thương hiệu và model, nhà sản xuất, ID phần cứng và bản dựng, và tên sản phẩm — để lập hồ sơ mục tiêu và bỏ qua các thiết bị không được hỗ trợ.

Giành quyền kiểm soát: Lạm dụng khả năng truy cập và sự kiên trì thầm lặng

Một chiến thuật cốt lõi là lạm dụng các dịch vụ Trợ năng. BankBot có thể mở Cài đặt Trợ năng và dùng kỹ thuật xã hội để dụ dỗ người dùng kích hoạt một dịch vụ trợ năng độc hại; với quyền này, nó có thể tự động nhấp chuột, nhập văn bản, kích hoạt các quyền khác và thực hiện các hành động mà không cần sự đồng ý của người dùng. Nó cũng có thể chiếm quyền quản trị thiết bị. Để tồn tại sau khi khởi động lại và duy trì quyền truy cập lâu dài, phần mềm độc hại lên lịch một tác vụ định kỳ (khoảng 30 giây một lần) yêu cầu kết nối mạng và tiếp tục hoạt động ngay cả khi thiết bị được khởi động lại.

Khả năng — Những gì BankBot có thể làm

Bộ tính năng của BankBot cho phép nó kiểm soát gần như hoàn toàn điện thoại bị nhiễm. Các khả năng chính bao gồm: tắt tiếng hệ thống để ngăn chặn cảnh báo (nhạc chuông, thông báo, phương tiện), hiển thị lời nhắc giả mạo toàn màn hình (ví dụ: 'Xác minh thông tin cá nhân') để đánh lạc hướng nạn nhân trong khi nó kích hoạt quyền, và âm thầm kích hoạt các dịch vụ và trạng thái quản trị viên. Nó có thể lập trình mở hoặc đóng ứng dụng, làm mới màn hình, mô phỏng các thao tác chạm và vuốt, mở khóa màn hình, điều khiển chuyển tiếp cuộc gọi, gửi tin nhắn SMS, cài đặt hoặc gỡ cài đặt APK, tải xuống tệp, chụp ảnh và ảnh chụp màn hình, ẩn cửa sổ và nhập văn bản vào các trường nhập liệu. Phần mềm độc hại này cũng có thể đọc clipboard của Android và trích xuất nội dung của nó — tiết lộ mật khẩu, cụm từ khóa và các bí mật khác — và nó cũng thu thập danh bạ, tin nhắn SMS, danh sách ứng dụng đã cài đặt, trạng thái thiết bị và vị trí địa lý.

Nhắm mục tiêu vào ngân hàng và tiền điện tử — Ứng dụng nào có nguy cơ

BankBot nhận lệnh từ máy chủ chỉ huy và điều khiển, cung cấp danh sách các ứng dụng tài chính và ngân hàng để nhắm mục tiêu đánh cắp thông tin đăng nhập hoặc giao dịch gian lận. Nó cũng nhắm mục tiêu cụ thể vào nhiều ví tiền điện tử bằng cách tự động hóa giao diện người dùng ứng dụng ví thông qua tính năng Trợ năng để đọc các hiện vật nhạy cảm như cụm từ hạt giống, khóa riêng tư hoặc chi tiết giao dịch. Ví dụ về các mục tiêu ví được quan sát bao gồm:

  • AUTOS, Bitcoin, BitKeep, Ví Blockchain, Ví Coin98 Super, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ví tiền điện tử Ethereum), TokenPocket, Ví Trust, Valor.

Kỹ thuật lừa đảo và ứng dụng ngụy trang

Để giảm thiểu nghi ngờ, BankBot có thể thay đổi biểu tượng và tên để mạo danh các dịch vụ hợp pháp (ví dụ: tự giới thiệu mình là Google News) và sau đó mở nội dung web trông có vẻ đáng tin cậy bên trong WebView. Những thay đổi về mặt thẩm mỹ này, kết hợp với các lời nhắc giả mạo giống reCAPTCHA hoặc hộp thoại xác minh toàn màn hình, được sử dụng để lừa người dùng cấp quyền hoặc tương tác với ứng dụng trong khi các hành động độc hại đang chạy ngầm.

Người dùng thường truy cập BankBot như thế nào

Trong nhiều trường hợp, nạn nhân tự cài đặt BankBot sau khi bị lừa. Các đường lây nhiễm phổ biến bao gồm:

  • Tải APK từ các trang web do kẻ tấn công kiểm soát hoặc các cửa hàng của bên thứ ba.
  • Ứng dụng giả mạo hoặc độc hại được phân phối thông qua kho ứng dụng không đáng tin cậy.
  • Cài đặt hoặc tải xuống từ các quảng cáo lừa đảo và cửa sổ bật lên trên các trang web đáng ngờ.
  • Liên kết trong tin nhắn SMS, ứng dụng nhắn tin hoặc email lừa đảo.

Kỹ thuật xã hội đóng vai trò trung tâm trong việc phát tán phần mềm độc hại: tội phạm tạo ra những mồi nhử thuyết phục để thuyết phục người dùng tải xuống và chạy phần mềm độc hại.

Rủi ro và tác động dự kiến

Thiết bị bị nhiễm có thể bị chiếm đoạt tài khoản, giao dịch tài chính trái phép, đánh cắp danh tính và mất quyền riêng tư. Sự kết hợp giữa việc lạm dụng khả năng truy cập, hoạt động ngầm, lập hồ sơ thiết bị và các cuộc tấn công có chủ đích vào các ứng dụng ngân hàng và tiền điện tử khiến BankBot đặc biệt nguy hiểm đối với người dùng có ứng dụng tài chính hoặc ví tiền điện tử trên điện thoại.

Các bước ngăn chặn và phục hồi ngay lập tức

  • Thu hồi các quyền đáng ngờ: xóa quyền truy cập và thông báo cho các ứng dụng không xác định và thu hồi quyền quản trị thiết bị.
  • Gỡ cài đặt ứng dụng độc hại và chạy quét toàn bộ bằng sản phẩm bảo mật di động uy tín.
  • Thay đổi mật khẩu và bật xác thực đa yếu tố cho tài khoản tài chính và mọi dịch vụ được sử dụng trên thiết bị — hãy thực hiện việc này trên một thiết bị sạch.
  • Liên hệ với ngân hàng hoặc nhà cung cấp ví nếu bạn nghi ngờ có hoạt động gian lận và theo dõi tài khoản để phát hiện các giao dịch trái phép.
  • Nếu cụm từ hạt giống hoặc khóa riêng bị lộ, hãy chuyển tiền sang các địa chỉ ví mới có khóa được tạo trên thiết bị sạch.

Phòng ngừa

Luôn cập nhật hệ điều hành và ứng dụng trên thiết bị, tránh tải APK từ bên ngoài hoặc cài đặt ứng dụng từ các nguồn không đáng tin cậy, tắt tính năng cài đặt tự động từ các nguồn không xác định, cảnh giác với các lời nhắc yêu cầu bạn bật Trợ năng hoặc tính năng quản trị thiết bị, và sử dụng sản phẩm bảo mật di động đáng tin cậy có khả năng phát hiện và loại bỏ trojan và phần mềm quảng cáo. Hãy giáo dục người dùng và nhân viên về các chiến thuật tấn công mạng tạo điều kiện cho việc tải và cấp quyền.

Tóm tắt — Xử lý BankBot như Rủi ro Cao

BankBot là một RAT Android ẩn danh, giàu tính năng, kết hợp việc lạm dụng khả năng truy cập, kiểm tra môi trường, tác vụ theo lịch trình liên tục, tự động hóa giao diện người dùng và đánh cắp có chủ đích tài sản ngân hàng và tiền điện tử. Do khả năng gây ra thiệt hại nghiêm trọng về tài chính và quyền riêng tư, bất kỳ trường hợp nghi ngờ nhiễm virus nào cũng cần được xử lý khẩn cấp: xóa phần mềm độc hại, bảo mật tài khoản khỏi thiết bị sạch và thực hiện các bước phòng ngừa nêu trên để giảm thiểu nguy cơ bị tấn công trong tương lai.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
32,906
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...