BankBot RAT
BankBot est un cheval de Troie Android puissant permettant l'accès à distance. Une fois installé, il peut prendre le contrôle total d'un appareil. Il exploite les fonctionnalités d'accessibilité d'Android pour élever ses privilèges, automatiser les actions de l'interface utilisateur, collecter des informations sensibles et mener des opérations non autorisées pouvant entraîner des fraudes financières, des vols d'identité et le déploiement de logiciels malveillants. Toute infection confirmée nécessite une suppression immédiate.
Table des matières
Furtivité et profilage des appareils
BankBot évite activement l'analyse et ne cible que des environnements spécifiques. Il effectue des vérifications d'émulateur et de sandbox, inspecte les attributs de l'appareil (marque, modèle, ROM) et adapte son comportement pour fonctionner sur des appareils réels sélectionnés tout en restant inactif ou furtif en laboratoire. Le logiciel malveillant collecte et enregistre également les données télémétriques de l'appareil (version et build d'Android, marque et modèle, fabricant, identifiants matériels et de build, et nom du produit) afin de profiler les cibles et d'ignorer les appareils non pris en charge.
Reprendre le contrôle : abus d’accessibilité et persistance silencieuse
L'une des tactiques principales consiste à exploiter les services d'accessibilité. BankBot peut accéder aux paramètres d'accessibilité et amener l'utilisateur à activer un service malveillant. Grâce à cette autorisation, il peut automatiser les clics, saisir du texte, activer d'autres permissions et effectuer des actions sans le consentement de l'utilisateur. Il peut également obtenir les droits d'administrateur de l'appareil. Pour survivre aux redémarrages et maintenir un accès prolongé, le logiciel malveillant planifie une tâche récurrente (environ toutes les 30 secondes) qui nécessite une connexion réseau et persiste même après le redémarrage de l'appareil.
Fonctionnalités — Ce que BankBot peut faire
Les fonctionnalités de BankBot lui confèrent un contrôle quasi total sur un téléphone infecté. Ses principales capacités incluent : la mise en sourdine du son système pour supprimer les alertes (sonneries, notifications, médias), l’affichage de fausses invites en plein écran (par exemple, « Vérification des informations personnelles ») pour distraire les victimes pendant l’activation des autorisations, et l’activation silencieuse de services et du statut d’administrateur. Il peut ouvrir ou fermer des applications, actualiser les écrans, simuler des interactions tactiles, déverrouiller l’écran, contrôler le transfert d’appel, envoyer des SMS, installer ou désinstaller des fichiers APK, télécharger des fichiers, prendre des photos et des captures d’écran, masquer des fenêtres et saisir du texte dans les champs de saisie. Ce logiciel malveillant peut également lire le presse-papiers Android et en exfiltrer le contenu, exposant ainsi les mots de passe, les phrases de récupération et autres données sensibles. Il capture également les contacts, les SMS, la liste des applications installées, l’état de l’appareil et la géolocalisation.
Secteur bancaire et crypto : quelles applications sont menacées ?
BankBot reçoit des instructions d'un serveur de commande et de contrôle qui lui fournit une liste d'applications financières et bancaires à cibler pour le vol d'identifiants ou les transactions frauduleuses. Il cible également de nombreux portefeuilles de cryptomonnaies en automatisant l'interface utilisateur de ces applications via l'accessibilité afin de lire des informations sensibles telles que les phrases de récupération, les clés privées ou les détails des transactions. Voici quelques exemples de portefeuilles ciblés :
- AUTOS, Bitcoin, BitKeep, portefeuille Blockchain, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (portefeuille crypto Ethereum), TokenPocket, Trust Wallet, Valor.
Techniques de tromperie et usurpation d'identité dans les applications
Pour atténuer les soupçons, BankBot peut modifier son icône et son nom afin d'usurper l'identité de services légitimes (par exemple, en se faisant passer pour Google Actualités), puis ouvrir du contenu web d'apparence fiable dans une WebView. Ces modifications cosmétiques, associées à de fausses invites de type reCAPTCHA ou à des boîtes de dialogue de vérification en plein écran, servent à tromper les utilisateurs et à les inciter à accorder des autorisations ou à interagir avec l'application, tandis que des actions malveillantes s'exécutent en arrière-plan.
Comment les utilisateurs arrivent généralement sur BankBot
Dans de nombreux cas, les victimes installent elles-mêmes BankBot après avoir été trompées. Les vecteurs d'infection courants sont les suivants :
- Installation latérale de fichiers APK depuis des sites contrôlés par des attaquants ou des boutiques tierces.
- Applications contrefaites ou malveillantes distribuées via des plateformes de téléchargement d'applications non fiables.
- Installations ou téléchargements furtifs à partir de publicités et de fenêtres contextuelles trompeuses sur des sites douteux.
- Liens dans les SMS, les applications de messagerie ou les courriels d'hameçonnage.
L'ingénierie sociale est au cœur de la distribution : les criminels conçoivent des appâts convaincants pour persuader les utilisateurs de télécharger et d'exécuter le logiciel malveillant.
Risques et impact attendu
Un appareil infecté peut entraîner la prise de contrôle de comptes, des transactions financières non autorisées, des usurpations d'identité et une atteinte à la vie privée. L'exploitation abusive des failles d'accessibilité, la persistance silencieuse, le profilage des appareils et les attaques ciblées contre les applications bancaires et de cryptomonnaies rendent BankBot particulièrement dangereux pour les utilisateurs disposant d'applications financières ou de portefeuilles de cryptomonnaies sur leur téléphone.
Mesures immédiates de confinement et de rétablissement
Prévention
Maintenez le système d'exploitation et les applications de votre appareil à jour, évitez d'installer des fichiers APK manuellement ou des applications provenant de sources non fiables, désactivez l'installation automatique d'applications provenant de sources inconnues, méfiez-vous des invites vous demandant d'activer l'accessibilité ou les fonctions d'administration de l'appareil, et utilisez une solution de sécurité mobile fiable capable de détecter et de supprimer les chevaux de Troie et les logiciels publicitaires. Sensibilisez les utilisateurs et les employés aux techniques d'ingénierie sociale qui facilitent l'installation d'applications manuellement et l'octroi d'autorisations.
Résumé — Considérer BankBot comme un risque élevé
BankBot est un RAT Android furtif et riche en fonctionnalités qui combine l'exploitation des failles d'accessibilité, la vérification de l'environnement, l'exécution de tâches planifiées persistantes, l'automatisation de l'interface utilisateur et le vol ciblé d'actifs bancaires et de cryptomonnaies. Compte tenu des risques importants qu'il représente pour la sécurité financière et la confidentialité, toute infection suspectée doit être traitée en urgence : supprimez le logiciel malveillant, sauvegardez vos comptes depuis un appareil sain et appliquez les mesures préventives décrites ci-dessus afin de limiter les risques futurs.
