حصان طروادة المصرفي BlankBot
كشف باحثون في مجال الأمن السيبراني عن حصان طروادة مصرفي جديد يعمل بنظام Android يُسمى BlankBot، والذي يستهدف المستخدمين الأتراك لسرقة المعلومات المالية. يمتلك BlankBot إمكانيات تهديد متنوعة، بما في ذلك حقن العملاء وتسجيل لوحة المفاتيح وتسجيل الشاشة. يتواصل مع خادم التحكم عبر اتصال WebSocket.
تم تحديد BlankBot لأول مرة في يوليو 2024، ويقال إنه لا يزال قيد التطوير النشط. تستغل البرامج الضارة أذونات خدمات الوصول الخاصة بنظام Android للتحكم الكامل في الأجهزة المصابة.
جدول المحتويات
ينتشر BlankBot عبر التطبيقات المزيفة
تتضمن بعض ملفات APK التالفة التي تحتوي على BlankBot أشكالًا مختلفة باسم app-release.apk مع معرفات الحزمة مثل com.abcdefg.w568b و com.abcdef.w568b ، بالإضافة إلى app-release-signed (14).apk المسمى باسم com. whatsapp.chma14 . بالإضافة إلى ذلك، هناك ملفات باسم app.apk بمعرفات مثل com.whatsapp.chma14p و com.whatsapp.w568bp و com.whatsapp.w568b .
تمامًا مثل حصان طروادة Mandrake Android الذي أعيد ظهوره مؤخرًا، يستخدم BlankBot أداة تثبيت الحزمة المستندة إلى الجلسة للتحايل على ميزة الإعدادات المقيدة المقدمة في Android 13، والتي تمنع التطبيقات المحملة جانبيًا من طلب أذونات غير آمنة مباشرة. يطلب BlankBot من الضحية السماح بتثبيت التطبيقات من مصادر خارجية، واسترداد ملف APK المخزن في دليل أصول التطبيق دون تشفير، ومتابعة عملية التثبيت.
القدرات التهديدية لحصان طروادة المصرفي BlankBot
توفر البرمجيات الخبيثة مجموعة واسعة من الميزات، بما في ذلك تسجيل الشاشة، وتسجيل لوحة المفاتيح، وحقن التراكب التي يتم تشغيلها بواسطة أوامر محددة من خادم بعيد. هدفها الأساسي هو الحصول على بيانات اعتماد الحساب المصرفي ومعلومات الدفع وحتى نمط إلغاء قفل الجهاز.
بالإضافة إلى هذه القدرات، يمكن لـ BlankBot اعتراض الرسائل النصية القصيرة وإلغاء تثبيت التطبيقات العشوائية وجمع البيانات مثل قوائم جهات الاتصال والتطبيقات المثبتة. كما أنه يستغل واجهة برمجة تطبيقات خدمات الوصول لمنع المستخدم من الوصول إلى إعدادات الجهاز أو تشغيل برامج مكافحة البرامج الضارة.
على الرغم من أن BlankBot عبارة عن حصان طروادة مصرفي جديد يعمل بنظام Android ولا يزال قيد التطوير، كما هو موضح من خلال متغيرات التعليمات البرمجية المختلفة التي تظهر في التطبيقات المختلفة، إلا أنه قادر بالفعل على تنفيذ إجراءات ضارة بمجرد إصابة جهاز Android.
تنفذ Google إجراءات إضافية لحماية مستخدمي Android
قامت جوجل بتفصيل التدابير التي تنفذها لمعالجة استخدام محاكيات المواقع الخلوية، مثل الراي اللساع، لحقن الرسائل النصية القصيرة مباشرة في هواتف أندرويد. تتجاوز تقنية الاحتيال هذه، المعروفة باسم الاحتيال عبر SMS Blaster، شبكات شركات الاتصالات ومرشحاتها المتقدمة لمكافحة البريد العشوائي ومكافحة الاحتيال عن طريق إنشاء شبكة LTE أو 5G مزيفة تجبر اتصال المستخدم على العودة إلى بروتوكول 2G القديم.
لمكافحة هذه المشكلة، قدمت Google تدابير تخفيفية تتضمن السماح للمستخدمين بتعطيل اتصالات 2G على مستوى المودم وإيقاف تشغيل الأصفار الفارغة. تعتبر الأصفار الفارغة ضرورية للمحطة الأساسية الزائفة لإدخال حمولات الرسائل النصية القصيرة.
