BankBot RAT
BankBot 是一款功能強大的安卓遠端存取木馬,一旦安裝,即可全面控制設備。它利用安卓系統的輔助功能提升權限、自動執行使用者介面操作、竊取敏感訊息,並執行未經授權的操作,這些操作可能導致金融詐騙、身分盜竊和惡意軟體傳播。任何已確認的感染都需要立即進行修復。
目錄
隱身和設備分析
BankBot 會主動規避分析,僅針對特定環境發動攻擊。它會執行模擬器和沙箱檢查,檢查設備屬性(製造商、型號、ROM),並調整自身行為,使其能夠在選定的真實設備上運行,同時在實驗室環境中保持休眠或規避狀態。該惡意軟體還會收集並記錄裝置遙測資料——包括 Android 版本和內部版本號、品牌和型號、製造商、硬體 ID 和內部版本號以及產品名稱——以分析目標裝置並跳過不支援的裝置。
掌控局面:無障礙濫用與默默堅持
其核心策略之一是濫用輔助功能服務。 BankBot 可以開啟輔助功能設置,並透過社交工程手段誘使用戶啟用惡意輔助功能服務;取得該權限後,它可以自動點擊、輸入文字、啟用其他權限,並在未經用戶同意的情況下執行其他操作。它還可以獲得設備管理員權限。為了在重新啟動後繼續運作並保持長期存取權限,該惡意軟體會安排一個需要網路連線且在裝置重新啟動後仍持續運作的週期性任務(大約每 30 秒一次)。
功能-BankBot能做什麼
BankBot 的功能使其幾乎可以完全控制受感染的手機。其主要功能包括:靜音系統音訊以抑制警報(鈴聲、通知、媒體),顯示全螢幕虛假提示(例如「個人資訊驗證」)以分散受害者註意力,同時啟動權限,以及靜默啟用服務和管理員權限。它可以透過程式設計方式開啟或關閉應用程式、刷新螢幕、模擬觸控和滑動、解鎖螢幕、控制呼叫轉移、發送簡訊、安裝或卸載 APK、下載檔案、拍照和截圖、隱藏視窗以及在輸入框中輸入文字。該惡意軟體還可以讀取 Android 剪貼簿並竊取其內容——洩露密碼、助記詞和其他秘密資訊——並捕獲聯絡人、簡訊、已安裝的應用程式清單、裝置狀態和地理位置資訊。
瞄準銀行和加密貨幣領域—哪些應用程式面臨風險
BankBot 會接收來自命令與控制伺服器的指令,該伺服器會提供一份金融和銀行應用程式列表,作為竊取憑證或進行詐欺交易的目標。它還會透過輔助功能自動修改錢包應用程式的使用者介面,專門針對許多加密貨幣錢包,讀取敏感訊息,例如助記詞、私鑰或交易詳情。已觀察到的目標錢包範例包括:
- AUTOS、比特幣、BitKeep、區塊鏈錢包、Coin98 超級錢包、Coinomi、Exodus、imToken、Krystal、MetaMask、MeWallet、SafePal、Status(以太坊加密錢包)、TokenPocket、Trust Wallet、Valor。
欺騙技巧和應用程式偽裝
為了降低使用者的懷疑,BankBot 可以更改圖示和名稱,冒充合法服務(例如,偽裝成 Google 新聞),然後在 WebView 中開啟看似可信的網頁內容。這些表面化的更改,再加上偽造的類似 reCAPTCHA 的提示或全屏驗證對話框,會誘騙用戶授予權限或與應用程式交互,而惡意操作則在後台運行。
使用者通常如何存取 BankBot
在許多情況下,受害者在被騙後自行安裝了 BankBot。常見的感染途徑包括:
- 從攻擊者控制的網站或第三方應用程式商店側載 APK 檔案。
- 透過不受信任的應用程式商店分發的虛假或惡意應用程式。
- 透過可疑網站上的欺騙性廣告和彈出視窗進行的「路過式安裝」或下載。
- 簡訊、即時通訊應用程式或釣魚郵件中的連結。
社會工程是傳播的核心:犯罪者精心設計誘餌,說服使用者下載並執行惡意軟體。
風險及預期影響
受感染的設備可能面臨帳戶被盜用、未經授權的金融交易、身分被竊取和隱私洩露等風險。 BankBot 結合了輔助功能濫用、靜默持久化、設備畫像分析以及針對銀行和加密貨幣應用程式的定向攻擊等手段,對手機上安裝了金融應用程式或加密貨幣錢包的用戶而言尤其危險。
立即採取的控制和恢復措施
預防
保持設備作業系統和應用程式更新至最新版本,避免側載 APK 或安裝來自不可信來源的應用程序,禁用來自未知來源的自動安裝,對要求您啟用輔助功能或設備管理員功能的提示保持警惕,並使用可檢測和清除木馬和廣告軟體的可信任移動安全產品。對使用者和員工進行培訓,使其了解用於側載和授予權限的社交工程攻擊手段。
摘要-將 BankBot 視為高風險
BankBot 是一款隱蔽性強、功能豐富的安卓遠端存取木馬 (RAT),它結合了無障礙功能濫用、環境檢查、持續定時任務、用戶介面自動化以及針對性竊取銀行和加密資產等多種攻擊手段。由於其可能造成嚴重的財務和隱私損害,任何疑似感染都應立即處理:清除惡意軟體,在乾淨的設備上保護帳戶,並採取上述預防措施以降低未來風險。
