Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil BankBot RAT

BankBot RAT

Por Mezo en Malware móvil, Herramientas de administración remota
Traducir a:

BankBot es un potente troyano de acceso remoto para Android que, una vez instalado, puede obtener el control total del dispositivo. Aprovecha las funciones de Accesibilidad de Android para escalar privilegios, automatizar acciones de la interfaz de usuario, recopilar información confidencial y realizar operaciones no autorizadas que pueden derivar en fraude financiero, robo de identidad y distribución de malware. Cualquier infección confirmada requiere una solución inmediata.

Sigilo y perfilado de dispositivos

BankBot evita activamente el análisis y se dirige únicamente a entornos específicos. Realiza comprobaciones en emuladores y entornos aislados, inspecciona los atributos del dispositivo (marca, modelo, ROM) y ajusta su comportamiento para ejecutarse en dispositivos reales seleccionados, permaneciendo inactivo o evasivo en entornos de laboratorio. El malware también recopila y registra la telemetría del dispositivo —versión y compilación de Android, marca y modelo, fabricante, ID de hardware y compilación, y nombre del producto— para perfilar los objetivos y omitir los dispositivos no compatibles.

Recuperando el control: Abuso de la accesibilidad y persistencia silenciosa

Una táctica fundamental es el abuso de los servicios de Accesibilidad. BankBot puede acceder a la Configuración de Accesibilidad y, mediante ingeniería social, engañar al usuario para que active un servicio malicioso. Con este permiso, puede automatizar clics, introducir texto, habilitar otros permisos y realizar acciones sin el consentimiento del usuario. También puede obtener privilegios de administrador del dispositivo. Para sobrevivir a los reinicios y mantener el acceso a largo plazo, el malware programa una tarea recurrente (aproximadamente cada 30 segundos) que requiere conexión a internet y persiste incluso después de reiniciar el dispositivo.

Capacidades: lo que BankBot puede hacer

El conjunto de funciones de BankBot le otorga un control casi total sobre un teléfono infectado. Sus capacidades clave incluyen: silenciar el audio del sistema para suprimir alertas (tonos, notificaciones, multimedia), mostrar avisos falsos a pantalla completa (por ejemplo, «Verificación de información personal») para distraer a las víctimas mientras activa permisos, y habilitar silenciosamente servicios y privilegios de administrador. Puede abrir o cerrar aplicaciones de forma programática, actualizar pantallas, simular toques y deslizamientos, desbloquear la pantalla, controlar el desvío de llamadas, enviar mensajes SMS, instalar o desinstalar APK, descargar archivos, tomar fotos y capturas de pantalla, ocultar ventanas e insertar texto en campos de entrada. El malware también puede leer el portapapeles de Android y extraer su contenido, exponiendo contraseñas, frases semilla y otros datos confidenciales, además de capturar contactos, SMS, listas de aplicaciones instaladas, estado del dispositivo y geolocalización.

Ataques dirigidos a la banca y las criptomonedas: ¿Qué aplicaciones están en riesgo?

BankBot recibe instrucciones de un servidor de comando y control que proporciona una lista de aplicaciones financieras y bancarias a las que atacar para robar credenciales o realizar transacciones fraudulentas. También ataca específicamente muchas billeteras de criptomonedas, automatizando las interfaces de usuario de las aplicaciones mediante la función de Accesibilidad para leer información confidencial como frases semilla, claves privadas o detalles de transacciones. Algunos ejemplos de billeteras objetivo son:

  • AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet, Valor.

Técnicas de engaño y suplantación de identidad en aplicaciones

Para evitar sospechas, BankBot puede cambiar su icono y nombre para suplantar servicios legítimos (por ejemplo, haciéndose pasar por Google News) y luego abrir contenido web de apariencia confiable dentro de una ventana WebView. Estos cambios estéticos, combinados con avisos falsos similares a reCAPTCHA o diálogos de verificación a pantalla completa, se utilizan para engañar a los usuarios y lograr que otorguen permisos o interactúen con la aplicación mientras se ejecutan acciones maliciosas en segundo plano.

Cómo suelen llegar los usuarios a BankBot

En muchos casos, las víctimas instalan BankBot por sí mismas tras ser engañadas. Las vías de infección más comunes incluyen:

  • Instalación de APK desde sitios controlados por atacantes o tiendas de terceros.
  • Aplicaciones falsas o maliciosas distribuidas a través de repositorios de aplicaciones no confiables.
  • Instalaciones o descargas no solicitadas a través de anuncios engañosos y ventanas emergentes en sitios web dudosos.
  • Enlaces en SMS, aplicaciones de mensajería o correos electrónicos de phishing.

La ingeniería social es fundamental para la distribución: los delincuentes crean señuelos convincentes para persuadir a los usuarios de que descarguen y ejecuten el malware.

Riesgos e impacto previsto

Un dispositivo infectado puede sufrir robo de cuentas, transacciones financieras no autorizadas, suplantación de identidad y pérdida de privacidad. La combinación de abuso de accesibilidad, persistencia silenciosa, creación de perfiles de dispositivos y ataques dirigidos contra aplicaciones bancarias y de criptomonedas hace que BankBot sea particularmente peligroso para los usuarios con aplicaciones financieras o monederos de criptomonedas en sus teléfonos.

Medidas inmediatas de contención y recuperación

  • Revocar permisos sospechosos: eliminar los permisos de acceso y notificación para aplicaciones desconocidas y revocar los derechos de administrador del dispositivo.
  • Desinstala las aplicaciones maliciosas y realiza un análisis completo con un producto de seguridad móvil de confianza.
  • Cambie las contraseñas y habilite la autenticación multifactor para las cuentas financieras y cualquier servicio utilizado en el dispositivo; hágalo desde un dispositivo limpio.
  • Si sospecha de actividad fraudulenta, póngase en contacto con su banco o proveedor de monedero electrónico y supervise sus cuentas para detectar transacciones no autorizadas.
  • Si las frases semilla o las claves privadas se vieron expuestas, transfiera los fondos a nuevas direcciones de billetera cuyas claves se generaron en un dispositivo limpio.

    • Prevención

    Mantén actualizado el sistema operativo y las aplicaciones del dispositivo, evita instalar APKs de fuentes desconocidas o aplicaciones de fuentes no confiables, desactiva la instalación automática desde fuentes desconocidas, desconfía de las solicitudes para habilitar las funciones de Accesibilidad o de administración del dispositivo y utiliza un producto de seguridad móvil confiable que pueda detectar y eliminar troyanos y adware. Informa a los usuarios y empleados sobre las tácticas de ingeniería social que facilitan la instalación de aplicaciones no autorizadas y la concesión de permisos.

    Resumen: Considere a BankBot como de alto riesgo.

    BankBot es un RAT para Android sigiloso y con múltiples funciones que combina el abuso de accesibilidad, comprobaciones del entorno, tareas programadas persistentes, automatización de la interfaz de usuario y el robo dirigido de activos bancarios y criptomonedas. Debido a su potencial para causar graves daños financieros y a la privacidad, cualquier posible infección debe tratarse con urgencia: elimine el malware, proteja sus cuentas desde un dispositivo limpio y tome las medidas preventivas mencionadas para reducir la exposición futura.

    Tendencias

    Mas Visto

    Cargando...