新的 BankBot-YNRK 木马威胁 Android 用户窃取金融数据

Cyfirma 的研究人员发现了 BankBot-YNRK 银行木马，该木马针对运行 Android 13 及更早版本的设备。该恶意软件利用辅助服务中的漏洞在未经用户明确同意的情况下获得更高的权限。它的重点是窃取银行凭证和访问加密货币钱包。

恶意代码在安装后不久就会启动环境扫描。它检测模拟器以避免沙箱分析。然后，它会识别三星、Oppo 和谷歌等制造商的型号。这种适应允许个性化攻击。

• 检查真实或模拟环境。
• 标识具体制造商和型号。
• 自定义代码以提高效率。

恶意软件伪装和持久性机制

BankBot-YNRK 禁用已安装应用程序的通知。它将声音设置静音以在没有警报的情况下进行操作。

该木马会更改 Android 的 JobScheduler。此修改保证了系统自动启动。它与命令和控制服务器保持持续的连接。

犯罪分子通过 C2 发送远程命令。他们模拟铃声并安装额外的 APK。该恶意软件会泄露联系人、短信和设备位置。

管理权限的辅助功能探索

OPEN_ACCESSIBILITY重新命令将用户引导至设置屏幕。该恶意软件请求激活辅助功能服务。

获得权限后，他会定期打开银行应用程序。捕获显示敏感数据的屏幕。

该木马尝试从加密钱包获取种子短语。它避免与生物识别技术的相互作用，以最大限度地减少检测。如果未配置生物识别技术，则会发生未经授权的交易。

如果没有主动生物识别技术，盗窃的风险就会显着增加。该恶意软件直接执行传输。

Leia Tambem

Juiz federal permite que adolescente acusado de matar meia-irmã em navio de cruzeiro permaneça fora da prisão

STF: Nunes Marques estipula 20 dias para PGR avaliar anulação de condenação de 27 anos de Jair Bolsonaro

Polícia Federal apreende R$ 287 mil em sacos de lixo na casa de servidor do INSS

BankBot-YNRK 扩展远程功能

该恶意软件管理 APK 安装和卸载。它根据命令更新和打开应用程序。

通过模拟手势和触摸与界面进行交互。解锁屏幕并浏览系统菜单。

• 转接电话并发送短信。
• 拍摄照片并隐藏浮动窗口。
• 将文本插入表单字段。
• 管理文件下载和执行。