BankBot RAT
BankBot 是一款功能强大的安卓远程访问木马,一旦安装,即可全面控制设备。它利用安卓系统的辅助功能提升权限、自动执行用户界面操作、窃取敏感信息,并执行未经授权的操作,这些操作可能导致金融诈骗、身份盗窃和恶意软件传播。任何已确认的感染都需要立即进行修复。
目录
隐身和设备分析
BankBot 会主动规避分析,仅针对特定环境发起攻击。它会执行模拟器和沙箱检查,检查设备属性(制造商、型号、ROM),并调整自身行为,使其能够在选定的真实设备上运行,同时在实验室环境中保持休眠或规避状态。该恶意软件还会收集并记录设备遥测数据——包括 Android 版本和内部版本号、品牌和型号、制造商、硬件 ID 和内部版本号以及产品名称——以分析目标设备并跳过不支持的设备。
掌控局面:无障碍滥用与默默坚持
其核心策略之一是滥用辅助功能服务。BankBot 可以打开辅助功能设置,并通过社交工程手段诱使用户启用恶意辅助功能服务;获得该权限后,它可以自动点击、输入文本、启用其他权限,并在未经用户同意的情况下执行其他操作。它还可以获取设备管理员权限。为了在重启后继续运行并保持长期访问权限,该恶意软件会安排一个需要网络连接且在设备重启后仍然持续运行的周期性任务(大约每 30 秒一次)。
功能——BankBot能做什么
BankBot 的功能使其几乎可以完全控制受感染的手机。其主要功能包括:静音系统音频以抑制警报(铃声、通知、媒体),显示全屏虚假提示(例如“个人信息验证”)以分散受害者注意力,同时激活权限,以及静默启用服务和管理员权限。它可以通过编程方式打开或关闭应用程序、刷新屏幕、模拟触摸和滑动、解锁屏幕、控制呼叫转移、发送短信、安装或卸载 APK、下载文件、拍照和截屏、隐藏窗口以及在输入框中输入文本。该恶意软件还可以读取 Android 剪贴板并窃取其内容——泄露密码、助记词和其他秘密信息——并捕获联系人、短信、已安装的应用程序列表、设备状态和地理位置信息。
瞄准银行和加密货币领域——哪些应用程序面临风险
BankBot 会接收来自命令与控制服务器的指令,该服务器会提供一份金融和银行应用程序列表,作为窃取凭证或进行欺诈交易的目标。它还会通过辅助功能自动修改钱包应用程序的用户界面,专门针对许多加密货币钱包,读取敏感信息,例如助记词、私钥或交易详情。已观察到的目标钱包示例包括:
- AUTOS、比特币、BitKeep、区块链钱包、Coin98 超级钱包、Coinomi、Exodus、imToken、Krystal、MetaMask、MeWallet、SafePal、Status(以太坊加密钱包)、TokenPocket、Trust Wallet、Valor。
欺骗技巧和应用程序伪装
为了降低用户的怀疑,BankBot 可以更改图标和名称,冒充合法服务(例如,伪装成 Google 新闻),然后在 WebView 中打开看似可信的网页内容。这些表面化的更改,再加上伪造的类似 reCAPTCHA 的提示或全屏验证对话框,会诱骗用户授予权限或与应用程序交互,而恶意操作则在后台运行。
用户通常如何访问 BankBot
在许多情况下,受害者在受骗后自行安装了 BankBot。常见的感染途径包括:
- 从攻击者控制的网站或第三方应用商店侧载 APK 文件。
- 通过不受信任的应用商店分发的虚假或恶意应用。
- 通过可疑网站上的欺骗性广告和弹出窗口进行的“路过式安装”或下载。
- 短信、即时通讯应用或钓鱼邮件中的链接。
社会工程是传播的核心:犯罪分子精心设计诱饵,说服用户下载并运行恶意软件。
风险及预期影响
受感染的设备可能面临账户被盗用、未经授权的金融交易、身份被窃取和隐私泄露等风险。BankBot 结合了辅助功能滥用、静默持久化、设备画像分析以及针对银行和加密货币应用程序的定向攻击等手段,对手机上安装了金融应用程序或加密货币钱包的用户而言尤其危险。
立即采取的控制和恢复措施
预防
保持设备操作系统和应用程序更新至最新版本,避免侧载 APK 或安装来自不可信来源的应用程序,禁用来自未知来源的自动安装,对要求您启用辅助功能或设备管理员功能的提示保持警惕,并使用可检测和清除木马和广告软件的可信移动安全产品。对用户和员工进行培训,使其了解用于侧载和授予权限的社交工程攻击手段。
摘要——将 BankBot 视为高风险
BankBot 是一款隐蔽性强、功能丰富的安卓远程访问木马 (RAT),它结合了无障碍功能滥用、环境检查、持续定时任务、用户界面自动化以及针对性窃取银行和加密资产等多种攻击手段。由于其可能造成严重的财务和隐私损害,任何疑似感染都应立即处理:清除恶意软件,在干净的设备上保护账户,并采取上述预防措施以降低未来风险。
