Badacze cyberbezpieczeństwa w firmie Cyfirma odkryli nowy i wysoce wyrafinowany szczep złośliwego oprogramowania dla systemu Android, zidentyfikowany jako „BankBot YNRK”. Wariant ten różni się od typowych trojanów mobilnych możliwością przeprowadzania zaawansowanego profilowania urządzeń i automatycznej interakcji, skutecznie zamieniając zainfekowane telefony w ciche narzędzia kradzieży finansowej. Szkodnik jest obecnie rozpowszechniany za pośrednictwem złośliwych aplikacji imitujących legalne narzędzia, w tym fałszywe cyfrowe skanery ID i fałszywą wersję Google News, która ładuje rzeczywistą witrynę news.google.com, aby rozwiać podejrzenia użytkowników.
Po zainstalowaniu BankBot YNRK inicjuje „cichą fazę”, mającą na celu uniknięcie wykrycia i zapewnienie długoterminowej trwałości. Natychmiast wycisza strumienie audio urządzenia — głośność powiadomień, dzwonków i multimediów jest ustawiana na zero — dzięki czemu ofiara pozostaje nieświadoma przychodzących alertów związanych z nieautoryzowanymi transakcjami.
Jednocześnie profiluje środowisko hosta, sprawdzając wskaźniki emulatora (takie jak określony poziom naładowania baterii lub odciski palców kompilacji), aby określić, czy jest ono analizowane przez badaczy bezpieczeństwa. Jeśli urządzenie pomyślnie przejdzie tę kontrolę, złośliwe oprogramowanie wykorzystuje usługi ułatwień dostępu systemu Android – funkcję, która ma pomóc użytkownikom niepełnosprawnym w przyznaniu sobie uprawnień administracyjnych. Ten krytyczny krok pozwala botowi czytać zawartość ekranu, poruszać się po menu i symulować dotyk bez jakiejkolwiek fizycznej interakcji ze strony ofiary.
Głównym celem szkodliwego oprogramowania jest kradzież danych uwierzytelniających bankowych i aktywów kryptowalutowych. Komunikuje się z serwerem dowodzenia i kontroli (C2) w celu pobrania docelowej listy 62 aplikacji finansowych, ze szczególnym uwzględnieniem głównych instytucji bankowych w Wietnamie, Malezji, Indonezji i Indiach, a także globalnych portfeli kryptowalut, takich jak MetaMask i Exodus. Unikalną cechą tego wariantu jest możliwość zeskrobywania metadanych interfejsu użytkownika (UI), takich jak tekst, położenie przycisków i identyfikatory przeglądania, w celu zrekonstruowania „szkieletu” docelowej aplikacji bankowej.
Pozwala to atakującym zautomatyzować złożone sekwencje logowania i transferu w tle, podczas gdy ekran ofiary wydaje się nieaktywny. Ustanawiając się jako administrator urządzenia i planując powtarzające się zadania w tle, BankBot YNRK zapewnia automatyczne ponowne uruchomienie nawet po ponownym uruchomieniu systemu, co sprawia, że usunięcie jest wyjątkowo trudne dla przeciętnego użytkownika.
