Hoe BankBot van geïnfecteerde apparaten te verwijderen

Wat is BankBot RAT?

BankBot is een Android RAT die volledige controle neemt over geïnfecteerde apparaten. Het maakt gebruik van toegankelijkheidsservices om verschillende machtigingen te verkrijgen, de gebruikersinterface van het apparaat te automatiseren, gevoelige gegevens te stelen en ongeoorloofde bewerkingen uit te voeren. Als een apparaat is geïnfecteerd met BankBot, moet de malware onmiddellijk worden verwijderd.

BankBot RAT in detail

BankBot detecteert of het in een emulator of sandbox draait om analyse te voorkomen. Het controleert het merk, model en ROM van het apparaat en past zijn gedrag daarop aan, waardoor het specifieke apparaten kan targeten of overslaan. Door deze controles kan BankBot alleen op geselecteerde echte apparaten draaien en verborgen blijven voor geautomatiseerde analyse.

De malware verzamelt ook apparaatinformatie, zoals Android-versie, OS-release, merk, model, fabrikant, hardware-ID, build-ID en productnaam. Deze informatie wordt geregistreerd voor profilering, het targeten van specifieke apparaten en het voorkomen van uitvoering op niet-ondersteunde apparaten.

Bovendien zet BankBot de telefoon op stil, zodat de slachtoffers geen meldingen horen. Wanneer de malware actief is, gebruikt deze systeemcontroles om muziek, beltonen en meldingen te dempen. Hierdoor worden geluiden voor oproepen, berichten en andere meldingen gestopt, zodat de gebruiker de kwaadaardige activiteit niet opmerkt.

BankBot kan een commando sturen om de toegankelijkheidsinstellingen van het apparaat te openen, waardoor de gebruiker wordt misleid om de toegankelijkheidsdienst in te schakelen. Hierdoor krijgt het extra rechten om het apparaat te bedienen en automatisch acties uit te voeren. Dit werkt op Android tot versie 13, maar Android 14 blokkeert dit soort omzeiling van rechten.

Bovendien blijft de malware actief door een taak in te plannen. Deze taak wordt ongeveer elke 30 seconden uitgevoerd, vereist een netwerkverbinding en is zo ingesteld dat deze ook na het opnieuw opstarten van het apparaat blijft bestaan, waardoor de malware continu kan blijven werken.

Mogelijkheden voor toegang op afstand

BankBot kan toegankelijkheidsservices in- en uitschakelen en apparaatbeheerdersrechten verkrijgen. Zodra het bijvoorbeeld toegankelijkheidstoestemming heeft gekregen, kan het een valse "Verificatie van persoonlijke gegevens" op volledig scherm weergeven om het slachtoffer af te leiden. Terwijl het slachtoffer wordt misleid, schakelt het stilletjes de vereiste toestemmingen in, start het zijn services en voegt het zichzelf toe als apparaatbeheerder.

De malware kan ook APK's installeren of verwijderen, schermen vernieuwen, apps openen, doorschakelen instellen of annuleren en sms'jes versturen. Daarnaast kan het contacten, sms'jes, de lijst met geïnstalleerde apps, de apparaatstatus en de locatie stelen, en het scherm ontgrendelen en klikken en vegen simuleren.

Bovendien kan BankBot het scherm in- en uitschakelen, bestanden downloaden, foto's (en screenshots) maken, vensters verbergen en tekst in invoervelden invoeren. Hierdoor kan de malware het apparaat volledig controleren, de gebruiker bespioneren en de interface manipuleren.

Bovendien kan de malware het Android-klembord lezen en gevoelige gegevens vastleggen, zoals wachtwoorden, cryptosleutels en andere persoonlijke informatie. Het richt zich ook op crypto-wallets door Android Accessibility te gebruiken om wallet-apps te openen, de gebruikersinterface te automatiseren en gegevens te lezen (zoals seed-zinnen, privésleutels of transactiegegevens).

De beoogde cryptovaluta's en wallets zijn onder andere AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet en Valor.

Het is belangrijk om op te merken dat BankBot zich kan voordoen als Google Nieuws door zijn naam en pictogram te wijzigen en vervolgens news.google.com te laden in een WebView om slachtoffers te laten geloven dat het de echte app is, waardoor hun argwaan wordt verminderd terwijl de malware kwaadaardige activiteiten uitvoert.

De malware communiceert ook met zijn server om een lijst te krijgen van apps die het doelwit kunnen zijn van diefstal of fraude. Al deze apps zijn voornamelijk financiële of bankapps, waaronder apps voor geldoverboekingen, mobiel bankieren, digitale portemonnees en sommige browsers. Hierdoor kan de malware gegevens en inloggegevens identificeren en mogelijk stelen, of acties uitvoeren in die apps op het geïnfecteerde apparaat.

Conclusie

BankBot is een heimelijke Android-malware die misbruik maakt van toegankelijkheid, apparaatcontroles en permanente taken om volledige controle te krijgen, gegevens te stelen (onder andere uit bank- en crypto-apps) en financiële fraude op afstand te plegen. Het kan zich verbergen als vertrouwde apps en het apparaat dempen om detectie te voorkomen.

Deze malware kan problemen veroorzaken zoals accountkaping, identiteitsdiefstal, geldverlies en andere problemen. Als een apparaat is geïnfecteerd, moet het daarom onmiddellijk worden gescand met een betrouwbare beveiligingstool. Enkele voorbeelden van andere Android-malware zijn GhostGrab, Herodotus en ClayRat.

Hoe is BankBot RAT op mijn apparaat terechtgekomen?

BankBot wordt geleverd als een sideloaded APK vanaf websites die door aanvallers worden beheerd. Malware kan ook systemen binnendringen via nep-apps in app stores van derden, kwaadaardige advertenties, nep-advertenties en pop-ups op dubieuze sites, links in misleidende berichten (of e-mails) en soortgelijke kanalen.

Over het algemeen gebruiken cybercriminelen social engineering of soortgelijke technieken om gebruikers te misleiden, zodat ze malware downloaden en op hun apparaten uitvoeren.

Hoe voorkom je de installatie van malware?

Download apps alleen van betrouwbare bronnen, zoals de Google Play Store of officiële websites, en controleer beoordelingen en recensies. Klik niet op links in verdachte e-mails, sms-berichten of berichten op sociale media. Vermijd ook interactie met advertenties, links, pop-ups enz. op twijfelachtige webpagina's.

Werk uw besturingssysteem en applicaties regelmatig bij en gebruik Google Play Protect in combinatie met een betrouwbare beveiligingsapp.

Een vals scherm dat door de malware wordt weergegeven terwijl deze op de achtergrond machtigingen inschakelt:

Snelmenu:

• Inleiding
• Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
• Hoe reset ik de Chrome-webbrowser?
• Hoe verwijder je de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je browsermeldingen uit in de Firefox-webbrowser?
• Hoe reset ik de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke applicaties?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe kan ik het batterijverbruik van verschillende applicaties controleren?
• Hoe kan ik het dataverbruik van verschillende applicaties controleren?
• Hoe installeer ik de nieuwste software-updates?
• Hoe kan ik het systeem terugzetten naar de standaardinstellingen?
• Hoe schakel ik applicaties met beheerdersrechten uit?

Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en opnieuw instellen". Hierdoor worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen, verwijderd. Wanneer u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en zal deze u niet langer om toestemming vragen).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat door het resetten van de browser alle gegevens die daarin zijn opgeslagen, worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "Slot" te zijn) en selecteer "Site-instellingen bewerken".

Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat bij het resetten van de browser alle opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld omdat u een foutmelding krijgt), kunt u de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in "Veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die u hiervan weerhouden wanneer het apparaat "normaal" werkt).

Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo min mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en stroom te besparen. Een hoog batterijverbruik kan daarom erop wijzen dat de applicatie kwaadaardig is.

[Terug naar de inhoudsopgave]

Controleer het gegevensgebruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zo veel mogelijk te beperken. Dit betekent dat een enorm datagebruik kan duiden op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties zo zijn ontworpen dat ze alleen werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele datagebruik als het wifi-datagebruik.

Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van apparaten. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor wordt het systeem ingesteld om u te waarschuwen zodra er een update beschikbaar is en/of deze automatisch te installeren.

[Terug naar de inhoudsopgave]

Het systeem terugzetten naar de standaardstatus:

Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden totdat u "Over de telefoon" ziet en tik erop.

Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
" Instellingen resetten" - herstel alle systeeminstellingen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;

[Terug naar de inhoudsopgave]

Schakel applicaties met beheerdersrechten uit:

Als een kwaadaardige applicatie beheerdersrechten krijgt, kan dit ernstige schade aan het systeem veroorzaken. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps die dat niet zouden moeten hebben, uitschakelen.

Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden totdat je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "App's voor apparaatbeheer".

Zoek apps die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met BankBot-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Door het apparaat te formatteren wordt BankBot verwijderd, maar worden ook alle opgeslagen gegevens gewist. Als alternatief kunt u het apparaat scannen met een betrouwbare antivirus-app, zoals Combo Cleaner, zonder drastische maatregelen te nemen.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan bestanden versleutelen, extra schadelijke tools installeren, aanvallers op afstand toegang geven, persoonlijke gegevens stelen, systemen beschadigen en uiteindelijk identiteitsdiefstal, financieel verlies, gegevensverlies en andere problemen veroorzaken.

Wat is het doel van BankBot?

Het doel van BankBot is om volledige controle te krijgen over geïnfecteerde Android-apparaten om gevoelige informatie te stelen, zoals bankgegevens, cryptovaluta-sleutels, contacten, sms-berichten en apparaatgegevens, en om ongeoorloofde acties uit te voeren, waaronder financiële fraude, het overnemen van accounts en het op afstand manipuleren van apps en het apparaat zelf.

Hoe is BankBot op mijn apparaat terechtgekomen?

Malware verspreidt zich voornamelijk via sideloaded APK's van door aanvallers gecontroleerde sites, nep-apps in winkels van derden, kwaadaardige advertenties en links in misleidende berichten.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan de meeste bekende malware detecteren en verwijderen, maar geavanceerde bedreigingen kunnen diep in het systeem verborgen zitten. Gebruikers moeten daarom een volledige apparaatscan uitvoeren om malware te verwijderen zonder dat er onderdelen achterblijven in het systeem.