Jak usunąć BankBot z zainfekowanych urządzeń

Czym jest BankBot RAT?

BankBot to aplikacja typu RAT dla systemu Android, która przejmuje pełną kontrolę nad zainfekowanymi urządzeniami. Wykorzystuje ona usługi ułatwień dostępu, aby uzyskać różne uprawnienia, zautomatyzować interfejs użytkownika urządzenia, wykraść poufne dane i wykonać nieautoryzowane operacje. Jeśli urządzenie jest zainfekowane przez BankBot, należy natychmiast usunąć to złośliwe oprogramowanie.

BankBot RAT w szczegółach

BankBot wykrywa, czy działa w emulatorze lub piaskownicy, aby uniknąć analizy. Sprawdza markę, model i pamięć ROM urządzenia i odpowiednio dostosowuje swoje działanie, co pozwala mu atakować lub pomijać określone urządzenia. Dzięki tym kontrolom BankBot działa tylko na wybranych rzeczywistych urządzeniach i pozostaje niewykrywalny dla automatycznej analizy.

Ponadto złośliwe oprogramowanie gromadzi informacje o urządzeniu, takie jak wersja systemu Android, wersja systemu operacyjnego, marka, model, producent, identyfikator sprzętu, identyfikator kompilacji i nazwa produktu. Informacje te są rejestrowane w celu profilowania, kierowania ataków na określone urządzenia i uniknięcia wykonania na urządzeniach, które nie są obsługiwane.

Ponadto BankBot wycisza telefon, aby ofiary nie słyszały alertów. Po uruchomieniu złośliwe oprogramowanie wykorzystuje elementy sterujące systemu do wyciszenia muzyki, dzwonków i powiadomień. Powoduje to wyłączenie dźwięków połączeń, wiadomości i innych alertów, dzięki czemu użytkownik nie zauważa złośliwej aktywności.

BankBot może wysłać polecenie otwarcia ustawień dostępności urządzenia, nakłaniając użytkownika do włączenia usługi dostępności. Dzięki temu uzyskuje dodatkowe uprawnienia do sterowania urządzeniem i automatycznego wykonywania czynności. Działa to w systemie Android do wersji 13, ale Android 14 blokuje tego rodzaju obejście uprawnień.

Ponadto złośliwe oprogramowanie utrzymuje swoją trwałość poprzez planowanie zadań. Zadania te są uruchamiane co około 30 sekund, wymagają połączenia sieciowego i są ustawione tak, aby utrzymywać się po ponownym uruchomieniu urządzenia, co pozwala złośliwemu oprogramowaniu działać w sposób ciągły.

Możliwości zdalnego dostępu

BankBot może włączać i wyłączać usługi ułatwień dostępu oraz uzyskać uprawnienia administratora urządzenia. Na przykład po uzyskaniu uprawnień ułatwień dostępu może wyświetlić fałszywe okno „Weryfikacja danych osobowych” na całym ekranie, aby odwrócić uwagę ofiary. Podczas gdy ofiara jest oszukiwana, aplikacja po cichu włącza wymagane uprawnienia, uruchamia swoje usługi i dodaje się jako administrator urządzenia.

Ponadto złośliwe oprogramowanie może instalować lub odinstalowywać pliki APK, odświeżać ekrany, otwierać aplikacje, ustawiać lub anulować przekierowanie połączeń oraz wysyłać wiadomości SMS. Może również wykraść kontakty, wiadomości SMS, listę zainstalowanych aplikacji, status urządzenia i lokalizację, a także odblokować ekran, symulować kliknięcia i przesunięcia palcem.

Ponadto BankBot może włączać i wyłączać ekran, pobierać pliki, robić zdjęcia (i zrzuty ekranu), ukrywać okna i wprowadzać tekst w polach wprowadzania danych. Dzięki temu złośliwe oprogramowanie może w pełni kontrolować urządzenie, szpiegować użytkownika i manipulować interfejsem.

Ponadto złośliwe oprogramowanie może odczytywać zawartość schowka systemu Android i przechwytywać poufne dane, takie jak hasła, klucze kryptograficzne i inne informacje osobiste. Atakuje również portfele kryptowalutowe, wykorzystując funkcję ułatwień dostępu systemu Android do otwierania aplikacji portfela, automatyzacji interfejsu użytkownika i odczytywania danych (takich jak frazy seed, klucze prywatne lub szczegóły transakcji).

Docelowe kryptowaluty i portfele obejmują AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet i Valor.

Należy pamiętać, że BankBot może podszywać się pod Google News, zmieniając swoją nazwę i ikonę, a następnie ładując stronę news.google.com w przeglądarce WebView, aby oszukać ofiary i przekonać je, że jest to prawdziwa aplikacja, zmniejszając w ten sposób ich podejrzenia podczas wykonywania złośliwych działań przez oprogramowanie.

Ponadto złośliwe oprogramowanie komunikuje się ze swoim serwerem, aby uzyskać listę aplikacji, które mogą stać się celem kradzieży lub oszustwa. Wszystkie te aplikacje to przede wszystkim aplikacje finansowe lub bankowe, w tym aplikacje do przelewów pieniężnych, aplikacje bankowości mobilnej, portfele cyfrowe i niektóre przeglądarki. Dzięki temu złośliwe oprogramowanie może identyfikować i potencjalnie kraść dane, poświadczenia lub wykonywać działania w tych aplikacjach na zainfekowanym urządzeniu.

Wnioski

BankBot to ukryte złośliwe oprogramowanie dla systemu Android, które wykorzystuje nadużycia funkcji ułatwień dostępu, sprawdzanie urządzeń i trwałe zadania, aby uzyskać pełną kontrolę, wykraść dane (w tym z aplikacji bankowych i kryptowalutowych) oraz przeprowadzać zdalne oszustwa finansowe. Może ukrywać się jako zaufane aplikacje i wyciszać urządzenie, aby uniknąć wykrycia.

To złośliwe oprogramowanie może powodować takie problemy, jak przejęcie konta, kradzież tożsamości, straty finansowe i inne. Dlatego też, jeśli urządzenie zostało zainfekowane, należy je natychmiast przeskanować za pomocą niezawodnego narzędzia zabezpieczającego. Inne przykłady złośliwego oprogramowania dla systemu Android to GhostGrab, Herodotus i ClayRat.

W jaki sposób BankBot RAT zainfiltrował moje urządzenie?

BankBot jest dostarczany jako plik APK pobrany z witryn kontrolowanych przez atakujących. Złośliwe oprogramowanie może również dostać się do systemów poprzez fałszywe aplikacje w sklepach z aplikacjami innych firm, złośliwe reklamy, fałszywe reklamy i wyskakujące okienka na podejrzanych stronach internetowych, linki w fałszywych wiadomościach (lub e-mailach) i podobnych kanałach.

Ogólnie rzecz biorąc, cyberprzestępcy wykorzystują socjotechnikę lub podobne techniki, aby nakłonić użytkowników do pobrania i uruchomienia złośliwego oprogramowania na swoich urządzeniach.

Jak uniknąć instalacji złośliwego oprogramowania?

Pobieraj aplikacje wyłącznie z zaufanych źródeł, takich jak sklep Google Play lub oficjalne strony internetowe, i sprawdzaj oceny oraz recenzje. Nie klikaj linków w podejrzanych wiadomościach e-mail, SMS-ach lub wiadomościach w mediach społecznościowych. Unikaj również interakcji z reklamami, linkami, wyskakującymi okienkami itp. na wątpliwych stronach internetowych.

Regularnie aktualizuj system operacyjny i aplikacje oraz korzystaj z Google Play Protect wraz z renomowaną aplikacją zabezpieczającą.

Fałszywy ekran wyświetlany przez złośliwe oprogramowanie podczas włączania uprawnień w tle:

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o udzielenie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCIŚNIJ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je od razu. Zalecamy też włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem BankBot. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Sformatowanie urządzenia spowoduje usunięcie BankBota, ale również skasuje wszystkie zapisane informacje. Alternatywnie można przeskanować urządzenie za pomocą niezawodnej aplikacji antywirusowej, takiej jak Combo Cleaner, bez podejmowania drastycznych kroków.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może szyfrować pliki, instalować dodatkowe złośliwe narzędzia, zapewniać atakującym zdalny dostęp, kraść dane osobowe, uszkadzać systemy, a ostatecznie powodować kradzież tożsamości, straty finansowe, utratę danych i inne problemy.

Jaki jest cel BankBota?

Celem BankBota jest przejęcie pełnej kontroli nad zainfekowanymi urządzeniami z systemem Android w celu kradzieży poufnych informacji, takich jak dane logowania do bankowości, klucze kryptowalutowe, kontakty, SMS-y i dane urządzenia, oraz wykonywanie nieautoryzowanych działań, w tym oszustw finansowych, przejmowania kont oraz zdalnej manipulacji aplikacjami i samym urządzeniem.

W jaki sposób BankBot zainfiltrował moje urządzenie?

Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez pliki APK pobrane z witryn kontrolowanych przez atakujących, fałszywe aplikacje w sklepach innych firm, złośliwe reklamy i linki w oszukańczych wiadomościach.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner może wykrywać i usuwać większość znanych złośliwych programów, ale zaawansowane zagrożenia mogą być ukryte głęboko w systemie, więc użytkownicy powinni przeprowadzić pełne skanowanie urządzenia, aby usunąć złośliwe oprogramowanie bez pozostawiania jakichkolwiek jego elementów w systemie.