Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware BankBot RAT

BankBot RAT

Von Mezo in Mobile Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

BankBot ist ein leistungsstarker Android-Fernzugriffstrojaner, der nach der Installation umfassende Kontrolle über ein Gerät erlangen kann. Er nutzt die Bedienungshilfen von Android, um Berechtigungen zu erweitern, Aktionen der Benutzeroberfläche zu automatisieren, sensible Daten zu sammeln und unautorisierte Aktionen durchzuführen, die zu Finanzbetrug, Identitätsdiebstahl und der Verbreitung von Schadsoftware führen können. Jede bestätigte Infektion erfordert eine sofortige Behebung.

Tarnung und Geräteprofilierung

BankBot umgeht aktiv die Analyse und zielt ausschließlich auf ausgewählte Umgebungen ab. Es führt Emulator- und Sandbox-Prüfungen durch, untersucht Geräteattribute (Hersteller, Modell, ROM) und passt sein Verhalten so an, dass es auf ausgewählten realen Geräten ausgeführt werden kann, während es in Laborumgebungen unauffällig oder schwer erkennbar bleibt. Die Malware sammelt und protokolliert außerdem Gerätetelemetriedaten – Android-Version und -Build, Marke und Modell, Hersteller, Hardware- und Build-IDs sowie Produktname –, um Zielprofile zu erstellen und nicht unterstützte Geräte zu überspringen.

Kontrolle erlangen: Missbrauch von Zugriffsrechten und stilles Beharren

Eine zentrale Taktik ist der Missbrauch von Bedienungshilfen. BankBot kann die Bedienungshilfen-Einstellungen öffnen und den Nutzer durch Social Engineering dazu bringen, einen schädlichen Bedienungshilfen-Dienst zu aktivieren. Mit dieser Berechtigung kann die Malware Klicks automatisieren, Text eingeben, weitere Berechtigungen aktivieren und Aktionen ohne Zustimmung des Nutzers durchführen. Sie kann außerdem Geräteadministratorrechte erlangen. Um Neustarts zu überstehen und langfristigen Zugriff zu gewährleisten, plant die Malware eine wiederkehrende Aufgabe (etwa alle 30 Sekunden), die eine Netzwerkverbindung benötigt und auch nach Neustarts des Geräts aktiv bleibt.

Funktionen – Was BankBot leisten kann

BankBot bietet dank seines Funktionsumfangs nahezu vollständige Kontrolle über ein infiziertes Smartphone. Zu den wichtigsten Funktionen gehören: Stummschalten des Systemtons, um Benachrichtigungen (Klingeltöne, Benachrichtigungen, Medien) zu unterdrücken; Anzeigen gefälschter Vollbild-Meldungen (z. B. „Persönliche Datenverifizierung“), um die Opfer abzulenken, während Berechtigungen aktiviert werden; und das stille Aktivieren von Diensten und Administratorrechten. BankBot kann Apps programmatisch öffnen oder schließen, Bildschirme aktualisieren, Berührungen und Wischgesten simulieren, den Bildschirm entsperren, Anrufweiterleitungen steuern, SMS versenden, APKs installieren oder deinstallieren, Dateien herunterladen, Fotos und Screenshots erstellen, Fenster ausblenden und Text in Eingabefelder einfügen. Die Malware kann außerdem die Android-Zwischenablage lesen und deren Inhalt exfiltrieren – wodurch Passwörter, Seed-Phrasen und andere vertrauliche Informationen offengelegt werden – und erfasst Kontakte, SMS, installierte Apps, Gerätestatus und Standortdaten.

Banken und Kryptowährungen im Visier – Welche Apps sind gefährdet?

BankBot empfängt Anweisungen von einem Command-and-Control-Server, der eine Liste von Finanz- und Banking-Apps bereitstellt, die für den Diebstahl von Zugangsdaten oder betrügerische Transaktionen ins Visier genommen werden sollen. Es zielt außerdem gezielt auf viele Kryptowährungs-Wallets ab, indem es die Benutzeroberflächen der Wallet-Apps über die Barrierefreiheitseinstellungen automatisiert, um sensible Daten wie Seed-Phrasen, private Schlüssel oder Transaktionsdetails auszulesen. Beispiele für beobachtete Wallet-Ziele sind:

  • AUTOS, Bitcoin, BitKeep, Blockchain Wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet, Valor.

Täuschungstechniken und App-Maskierung

Um keinen Verdacht zu erregen, kann BankBot sein Symbol und seinen Namen ändern, um sich als legitime Dienste auszugeben (beispielsweise als Google News) und anschließend vertrauenswürdig wirkende Webseiten in einer WebView zu öffnen. Diese kosmetischen Änderungen, kombiniert mit gefälschten reCAPTCHA-ähnlichen Abfragen oder Vollbild-Verifizierungsdialogen, dienen dazu, Nutzer zur Erteilung von Berechtigungen oder zur Interaktion mit der App zu verleiten, während im Hintergrund schädliche Aktionen ausgeführt werden.

Wie Nutzer typischerweise auf BankBot gelangen

In vielen Fällen installieren Opfer BankBot selbst, nachdem sie getäuscht wurden. Häufige Infektionswege sind:

  • Das manuelle Installieren von APKs von Seiten, die von Angreifern kontrolliert werden, oder aus Drittanbieter-Stores.
  • Gefälschte oder bösartige Apps werden über nicht vertrauenswürdige App-Repositories verbreitet.
  • Drive-by-Installationen oder Downloads durch irreführende Werbung und Pop-ups auf zweifelhaften Webseiten.
  • Links in SMS, Messenger-Apps oder Phishing-E-Mails.

Social Engineering spielt bei der Verbreitung eine zentrale Rolle: Kriminelle entwickeln überzeugende Köder, um Benutzer dazu zu bringen, die Schadsoftware herunterzuladen und auszuführen.

Risiken und erwartete Auswirkungen

Ein infiziertes Gerät kann Kontoübernahmen, unautorisierte Finanztransaktionen, Identitätsdiebstahl und Datenschutzverletzungen erleiden. Die Kombination aus Missbrauch der Barrierefreiheitseinstellungen, unbemerkter Persistenz, Geräteprofilierung und gezielten Angriffen auf Banking- und Krypto-Apps macht BankBot besonders gefährlich für Nutzer mit Finanz-Apps oder Krypto-Wallets auf ihren Smartphones.

Sofortige Eindämmungs- und Wiederherstellungsmaßnahmen

  • Verdächtige Berechtigungen widerrufen: Zugriffsrechte und Benachrichtigungsberechtigungen für unbekannte Apps entfernen und Geräteadministratorrechte widerrufen.
  • Deinstallieren Sie die schädliche(n) App(s) und führen Sie einen vollständigen Scan mit einem seriösen mobilen Sicherheitsprodukt durch.
  • Ändern Sie die Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung für Finanzkonten und alle auf dem Gerät verwendeten Dienste – führen Sie dies von einem sauberen Gerät aus durch.
  • Wenden Sie sich an Banken oder Wallet-Anbieter, wenn Sie betrügerische Aktivitäten vermuten, und überwachen Sie Ihre Konten auf unautorisierte Transaktionen.
  • Falls Seed-Phrasen oder private Schlüssel offengelegt wurden, transferieren Sie die Gelder auf neue Wallet-Adressen, deren Schlüssel auf einem sauberen Gerät generiert wurden.

    • Verhütung

    Halten Sie Betriebssystem und Apps Ihres Geräts auf dem neuesten Stand, vermeiden Sie das manuelle Installieren von APKs oder Apps aus nicht vertrauenswürdigen Quellen, deaktivieren Sie die automatische Installation aus unbekannten Quellen, seien Sie misstrauisch gegenüber Aufforderungen zur Aktivierung von Bedienungshilfen oder Geräteadministratorrechten und verwenden Sie ein zuverlässiges mobiles Sicherheitsprodukt, das Trojaner und Adware erkennt und entfernt. Sensibilisieren Sie Nutzer und Mitarbeiter für Social-Engineering-Taktiken, die das manuelle Installieren und die Erteilung von Berechtigungen ermöglichen.

    Zusammenfassung – BankBot als Hochrisiko-System einstufen

    BankBot ist eine schwer auffindbare, funktionsreiche Android-RAT, die Zugriffsrechte ausnutzt, Umgebungsprüfungen durchführt, permanent geplante Aufgaben ausführt, die Benutzeroberfläche automatisiert und gezielt Bank- und Krypto-Assets stiehlt. Aufgrund des potenziell schwerwiegenden Schadens für Finanzen und Privatsphäre sollte jeder Verdacht auf eine Infektion umgehend behandelt werden: Entfernen Sie die Schadsoftware, sichern Sie Ihre Konten von einem sauberen Gerät aus und ergreifen Sie die oben genannten Präventivmaßnahmen, um zukünftige Risiken zu minimieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...