Come eliminare BankBot dai dispositivi compromessi

Che cos'è BankBot RAT?

BankBot è un RAT Android che assume il controllo totale dei dispositivi infetti. Sfrutta i servizi di accessibilità per ottenere varie autorizzazioni, automatizzare l'interfaccia utente del dispositivo, rubare dati sensibili ed eseguire operazioni non autorizzate. Se un dispositivo è infetto da BankBot, il malware deve essere rimosso immediatamente.

BankBot RAT in dettaglio

BankBot rileva se è in esecuzione in un emulatore o in una sandbox per evitare l'analisi. Controlla la marca, il modello e la ROM del dispositivo e adatta il proprio comportamento di conseguenza, consentendogli di prendere di mira o ignorare dispositivi specifici. Questi controlli consentono a BankBot di funzionare solo su dispositivi reali selezionati e di rimanere nascosto dall'analisi automatizzata.

Inoltre, il malware raccoglie informazioni sul dispositivo, quali versione Android, versione del sistema operativo, marca, modello, produttore, ID hardware, ID build e nome del prodotto. Queste informazioni vengono registrate per la profilazione, il targeting di dispositivi specifici e per evitare l'esecuzione su dispositivi non supportati.

Inoltre, BankBot silenzia il telefono in modo che le vittime non sentano gli avvisi. Quando è attivo, il malware utilizza i controlli di sistema per silenziare musica, suonerie e notifiche. Ciò blocca i suoni delle chiamate, dei messaggi e di altri avvisi, in modo che l'utente non si accorga dell'attività dannosa.

BankBot può inviare un comando per aprire le impostazioni di accessibilità del dispositivo, inducendo l'utente ad abilitare il suo servizio di accessibilità. Ciò gli conferisce autorizzazioni aggiuntive per controllare il dispositivo ed eseguire azioni automaticamente. Funziona su Android fino alla versione 13, ma Android 14 blocca questo tipo di bypass delle autorizzazioni.

Inoltre, il malware mantiene la persistenza pianificando un'attività. Questa viene eseguita all'incirca ogni 30 secondi, richiede una connessione di rete ed è impostata per persistere anche dopo il riavvio del dispositivo, consentendo al malware di funzionare in modo continuo.

Funzionalità di accesso remoto

BankBot può abilitare e disabilitare i servizi di accessibilità e ottenere i privilegi di amministratore del dispositivo. Ad esempio, una volta ottenuta l'autorizzazione per l'accessibilità, può visualizzare una finta "Verifica delle informazioni personali" a schermo intero per distrarre la vittima. Mentre la vittima viene ingannata, abilita silenziosamente le autorizzazioni richieste, avvia i suoi servizi e si aggiunge come amministratore del dispositivo.

Inoltre, il malware può installare o disinstallare APK, aggiornare schermate, aprire app, impostare o annullare il trasferimento di chiamata e inviare SMS. Può anche rubare contatti, SMS, elenco delle app installate, stato del dispositivo e posizione, nonché sbloccare lo schermo, simulare clic e scorrimento.

Inoltre, BankBot può accendere e spegnere lo schermo, scaricare file, scattare foto (e screenshot), nascondere finestre e inserire testo nei campi di immissione. Ciò consente al malware di controllare completamente il dispositivo, spiare l'utente e manipolare l'interfaccia.

Inoltre, il malware è in grado di leggere gli appunti di Android e acquisire dati sensibili, come password, chiavi crittografiche e altre informazioni personali. Prende di mira anche i portafogli crittografici utilizzando Android Accessibility per aprire le app dei portafogli, automatizzare l'interfaccia utente e leggere i dati (come frasi seed, chiavi private o dettagli delle transazioni).

Le criptovalute e i portafogli interessati includono AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet e Valor.

È fondamentale sottolineare che BankBot può mascherarsi da Google News modificando il proprio nome e la propria icona, quindi caricando news.google.com all'interno di una WebView per indurre le vittime a credere che si tratti dell'app autentica, riducendo così i loro sospetti mentre il malware esegue attività dannose.

Inoltre, il malware comunica con il proprio server per ottenere un elenco di app da prendere di mira per furti o frodi. Tutte queste app sono principalmente app finanziarie o bancarie, tra cui app per il trasferimento di denaro, app di mobile banking, portafogli digitali e alcuni browser. Ciò consente al malware di identificare e potenzialmente rubare dati, credenziali o eseguire azioni in tali app sul dispositivo infetto.

Conclusione

BankBot è un malware Android furtivo che sfrutta l'abuso delle funzionalità di accessibilità, i controlli dei dispositivi e le attività persistenti per ottenere il controllo totale, rubare dati (anche da app bancarie e di criptovalute) e commettere frodi finanziarie da remoto. Può nascondersi sotto forma di app affidabili e silenziare il dispositivo per evitare di essere rilevato.

Questo malware può causare problemi quali il dirottamento dell'account, il furto di identità, perdite monetarie e altri problemi. Pertanto, se un dispositivo è stato compromesso, è necessario eseguire immediatamente una scansione utilizzando uno strumento di sicurezza affidabile. Alcuni esempi di altri malware Android sono GhostGrab, Herodotus e ClayRat.

Come ha fatto BankBot RAT a infiltrarsi nel mio dispositivo?

BankBot viene distribuito come APK sideloadato da siti web controllati dagli aggressori. Il malware può anche entrare nei sistemi tramite app false presenti su app store di terze parti, pubblicità dannose, pubblicità false e pop-up su siti dubbi, link in messaggi (o e-mail) ingannevoli e canali simili.

In genere, i criminali informatici utilizzano tecniche di ingegneria sociale o simili per indurre gli utenti a scaricare ed eseguire malware sui propri dispositivi.

Come evitare l'installazione di malware?

Scarica solo app da fonti affidabili, come Google Play Store o siti web ufficiali, e controlla le valutazioni e le recensioni. Evita di cliccare su link contenuti in e-mail, SMS o messaggi sui social media sospetti. Inoltre, evita di interagire con annunci pubblicitari, link, pop-up, ecc. su pagine web discutibili.

Aggiorna regolarmente il sistema operativo e le applicazioni e utilizza Google Play Protect insieme a un'app di sicurezza affidabile.

Una finta schermata visualizzata dal malware mentre abilita le autorizzazioni in background:

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo eccessivo dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Reimposta" e toccalo. Ora scegli l'azione che desideri eseguire:
" Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware BankBot, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La formattazione del dispositivo rimuoverà BankBot, ma cancellerà anche tutte le informazioni memorizzate. In alternativa, è possibile eseguire una scansione del dispositivo con un'app antivirus affidabile, come Combo Cleaner, senza ricorrere a misure drastiche.

Quali sono i problemi più gravi che possono causare i malware?

Il malware può crittografare i file, installare ulteriori strumenti dannosi, consentire agli aggressori l'accesso remoto, rubare dati personali, danneggiare i sistemi e, in ultima analisi, causare furti di identità, perdite finanziarie, perdita di dati e altri problemi.

Qual è lo scopo di BankBot?

Lo scopo di BankBot è quello di ottenere il controllo totale dei dispositivi Android infetti al fine di rubare informazioni sensibili, quali credenziali bancarie, chiavi di criptovaluta, contatti, SMS e dati del dispositivo, e di eseguire azioni non autorizzate, tra cui frodi finanziarie, appropriazione di account e manipolazione remota delle app e del dispositivo stesso.

Come ha fatto BankBot a infiltrarsi nel mio dispositivo?

Il malware si diffonde principalmente tramite APK scaricati da siti controllati dagli hacker, app contraffatte su store di terze parti, annunci pubblicitari dannosi e link contenuti in messaggi ingannevoli.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare ed eliminare la maggior parte dei malware conosciuti, ma le minacce avanzate potrebbero nascondersi in profondità nel sistema, pertanto gli utenti dovrebbero eseguire una scansione completa del dispositivo per rimuovere il malware senza lasciare alcuna traccia nel sistema.