BankBot RAT (Android)

Qu'est-ce que BankBot RAT ?

BankBot est un RAT Android qui prend le contrôle total des appareils infectés. Il exploite les services d'accessibilité pour obtenir diverses autorisations, automatiser l'interface utilisateur de l'appareil, voler des données sensibles et exécuter des opérations non autorisées. Si un appareil est infecté par BankBot, le logiciel malveillant doit être supprimé immédiatement.

BankBot RAT android maliciel

BankBot RAT en détail

BankBot détecte s'il s'exécute dans un émulateur ou un bac à sable afin d'éviter toute analyse. Il vérifie la marque, le modèle et la ROM de l'appareil, puis adapte son comportement en conséquence, ce qui lui permet de cibler ou d'ignorer certains appareils spécifiques. Ces vérifications permettent à BankBot de s'exécuter uniquement sur certains appareils réels et de rester invisible lors des analyses automatisées.

De plus, le logiciel malveillant collecte des informations sur l'appareil, telles que la version Android, la version du système d'exploitation, la marque, le modèle, le fabricant, l'identifiant matériel, l'identifiant de compilation et le nom du produit. Ces informations sont enregistrées à des fins de profilage, de ciblage d'appareils spécifiques et d'évitement de l'exécution sur des appareils non pris en charge.

De plus, BankBot met le téléphone en mode silencieux afin que les victimes n'entendent pas les alertes. Lorsqu'il est actif, le logiciel malveillant utilise les commandes du système pour couper le son de la musique, des sonneries et des notifications. Cela empêche les sons des appels, des messages et autres alertes, de sorte que l'utilisateur ne remarque pas l'activité malveillante.

BankBot peut envoyer une commande pour ouvrir les paramètres d'accessibilité de l'appareil, incitant ainsi l'utilisateur à activer son service d'accessibilité. Cela lui confère des autorisations supplémentaires pour contrôler l'appareil et effectuer des actions automatiquement. Cela fonctionne sur Android jusqu'à la version 13, mais Android 14 bloque ce type de contournement des autorisations.

De plus, le logiciel malveillant maintient sa persistance en programmant une tâche. Celle-ci s'exécute environ toutes les 30 secondes, nécessite une connexion réseau et est configurée pour persister après le redémarrage de l'appareil, ce qui permet au logiciel malveillant de fonctionner en continu.

Capacités d'accès à distance

BankBot peut activer et désactiver les services d'accessibilité et obtenir les privilèges d'administrateur de l'appareil. Par exemple, une fois qu'il a obtenu l'autorisation d'accessibilité, il peut afficher un faux écran « Vérification des informations personnelles » en plein écran pour distraire la victime. Pendant que la victime est trompée, il active silencieusement les autorisations requises, démarre ses services et s'ajoute en tant qu'administrateur de l'appareil.

De plus, le logiciel malveillant peut installer ou désinstaller des fichiers APK, actualiser des écrans, ouvrir des applications, activer ou désactiver le transfert d'appel et envoyer des SMS. Il peut également voler des contacts, des SMS, la liste des applications installées, l'état de l'appareil et sa localisation, et peut déverrouiller l'écran, simuler des clics et des glissements.

De plus, BankBot peut allumer et éteindre l'écran, télécharger des fichiers, prendre des photos (et des captures d'écran), masquer des fenêtres et saisir du texte dans des champs de saisie. Cela permet au logiciel malveillant de contrôler entièrement l'appareil, d'espionner l'utilisateur et de manipuler l'interface.

De plus, le logiciel malveillant peut lire le presse-papiers Android et capturer des données sensibles, telles que des mots de passe, des clés cryptographiques et d'autres informations personnelles. Il cible également les portefeuilles cryptographiques en utilisant Android Accessibility pour ouvrir les applications de portefeuille, automatiser l'interface utilisateur et lire les données (telles que les phrases de départ, les clés privées ou les détails des transactions).

Les cryptomonnaies et portefeuilles concernés sont notamment AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet et Valor.

Il est essentiel de noter que BankBot peut se faire passer pour Google Actualités en modifiant son nom et son icône, puis en chargeant news.google.com dans une vue Web afin de tromper les victimes en leur faisant croire qu'il s'agit de l'application authentique, réduisant ainsi leur méfiance pendant que le logiciel malveillant exécute des activités malveillantes.

De plus, le logiciel malveillant communique avec son serveur pour obtenir une liste d'applications à cibler à des fins de vol ou de fraude. Toutes ces applications sont principalement des applications financières ou bancaires, notamment des applications de transfert d'argent, des applications bancaires mobiles, des portefeuilles numériques et certains navigateurs. Cela permet au logiciel malveillant d'identifier et potentiellement de voler des données, des identifiants ou d'effectuer des actions dans ces applications sur l'appareil infecté.

Résumé de la menace :
Nom	Trojan d'accès à distance BankBot
Type de menace	Maliciel Android, cheval de Troie d'accès à distance
Noms de détection	Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aFJD), ESET-NOD32 (détections multiples), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.md), liste complète (VirusTotal)
Symptômes	Signaux de contrôle des appareils, notifications et sons désactivés.
Méthodes de distribution	Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, applications trompeuses, sites Web frauduleux.
Dommages	Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, décharge rapide de la batterie, baisse de la vitesse Internet, pertes importantes de données, pertes financières, usurpation d'identité.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

BankBot est un malware Android furtif qui utilise l'abus d'accessibilité, les vérifications d'appareils et les tâches persistantes pour obtenir le contrôle total, voler des données (y compris celles provenant d'applications bancaires et cryptographiques) et commettre des fraudes financières à distance. Il peut se cacher sous forme d'applications de confiance et mettre l'appareil en mode silencieux pour éviter d'être détecté.

Ce logiciel malveillant peut causer des problèmes tels que le piratage de compte, l'usurpation d'identité, des pertes financières et d'autres problèmes. Ainsi, si un appareil est compromis, il doit être immédiatement analysé à l'aide d'un outil de sécurité fiable. Voici quelques exemples d'autres logiciels malveillants Android : GhostGrab, Herodotus et ClayRat.

Comment BankBot RAT s'est-il infiltré dans mon appareil ?

BankBot est distribué sous forme d'APK téléchargé à partir de sites Web contrôlés par des pirates. Les logiciels malveillants peuvent également s'introduire dans les systèmes via de fausses applications disponibles sur des boutiques d'applications tierces, des publicités malveillantes, des publicités frauduleuses et des fenêtres contextuelles sur des sites douteux, des liens contenus dans des messages (ou des e-mails) trompeurs et d'autres canaux similaires.

En général, les cybercriminels utilisent l'ingénierie sociale ou des techniques similaires pour inciter les utilisateurs à télécharger et à exécuter des logiciels malveillants sur leurs appareils.

Comment éviter l'installation de logiciels malveillants ?

Téléchargez uniquement des applications provenant de sources fiables, telles que Google Play Store ou les sites Web officiels, et vérifiez les notes et les avis. Évitez de cliquer sur les liens contenus dans des e-mails, SMS ou messages sur les réseaux sociaux suspects. Évitez également d'interagir avec les publicités, les liens, les fenêtres contextuelles, etc. sur les pages Web douteuses.

Mettez régulièrement à jour votre système d'exploitation et vos applications, et utilisez Google Play Protect en complément d'une application de sécurité réputée.

Un faux écran affiché par le logiciel malveillant pendant qu'il active les autorisations en arrière-plan :

BankBot RAT superposition plein écran (source : cyfirma.com)

Menu rapide :

Introduction
Comment supprimer l'historique de navigation du navigateur web Chrome ?
Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
Comment réinitialiser le navigateur web Chrome ?
Comment supprimer l'historique de navigation du navigateur web Firefox ?
Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
Comment réinitialiser le navigateur web Firefox ?
Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
Comment démarrer l'appareil Android en « mode sans échec » ?
Comment vérifier la consommation de batterie des différentes applications ?
Comment vérifier l'utilisation des données de différentes applications ?
Comment installer les dernières mises à jour logicielles ?
Comment réinitialiser le système à son état par défaut ?
Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Web Chrome :

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 2)

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Chrome :

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications » et appuyez dessus.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 3)

Recherchez les sites Web qui envoient des notifications par navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section « Bloqué » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Chrome :

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 3)

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Firefox :

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 1)

Rendez-vous sur le site Web qui affiche les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement « Verrouiller ») et sélectionnez « Modifier les paramètres du site ».

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 2)

Dans la fenêtre contextuelle ouverte, sélectionnez l'option « Notifications » et appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 3)

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).

Démarrer un appareil Android en mode sans échec

Appuyez sur le bouton « Power » et maintenez-le enfoncé jusqu'à ce que l'écran « Power off » s'affiche. Appuyez sur l'icône « Power off » et maintenez-la enfoncée. Après quelques secondes, l'option « Safe Mode » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez l'utilisation de la batterie par différentes applications :

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil » et appuyez dessus.

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 2)

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez l'utilisation des données de différentes applications :

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions » et appuyez dessus.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 3)

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Maintenir le logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle » et appuyez dessus.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 2)

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à son état par défaut :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone » et appuyez dessus.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour assurer la sécurité maximale de votre appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité » et appuyez dessus.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».

Désactiver les applications Android disposant de privilèges d'administrateur (étape 3)

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware BankBot, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage de l'appareil supprimera BankBot, mais effacera également toutes les informations stockées. Vous pouvez également analyser l'appareil à l'aide d'une application antivirus fiable, telle que Combo Cleaner, sans prendre de mesures drastiques.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent crypter des fichiers, installer des outils malveillants supplémentaires, donner aux pirates un accès à distance, voler des informations personnelles, endommager les systèmes et, au final, entraîner l'usurpation d'identité, des pertes financières, la perte de données et d'autres problèmes.

Quel est l'objectif de BankBot ?

L'objectif de BankBot est de prendre le contrôle total des appareils Android infectés afin de voler des informations sensibles, telles que les identifiants bancaires, les clés de cryptomonnaie, les contacts, les SMS et les données de l'appareil, et d'effectuer des actions non autorisées, notamment des fraudes financières, des prises de contrôle de comptes et la manipulation à distance des applications et de l'appareil lui-même.

Comment BankBot s'est-il infiltré dans mon appareil ?

Les logiciels malveillants se propagent principalement via des fichiers APK téléchargés à partir de sites contrôlés par des pirates, des applications frauduleuses disponibles sur des boutiques tierces, des publicités malveillantes et des liens contenus dans des messages trompeurs.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Combo Cleaner peut détecter et éliminer la plupart des logiciels malveillants connus, mais les menaces avancées peuvent se cacher profondément dans le système. Les utilisateurs doivent donc effectuer une analyse complète de leur appareil afin de supprimer les logiciels malveillants sans laisser aucun de leurs composants dans le système.