BlankBot банков троян
Изследователите на киберсигурността разкриха нов банков троянски кон за Android, наречен BlankBot, който е насочен към турски потребители за кражба на финансова информация. BlankBot притежава различни заплашителни способности, включително инжектиране на клиенти, записване на клавиатури и запис на екрана. Той комуникира с контролен сървър чрез WebSocket връзка.
Съобщава се, че BlankBot е идентифициран за първи път през юли 2024 г. и все още е в процес на активно развитие. Зловреден софтуер използва разрешенията на услугите за достъпност на Android, за да получи пълен контрол над заразените устройства.
Съдържание
BlankBot Разпространява се чрез фалшиви приложения
Някои от повредените APK файлове, съдържащи BlankBot, включват варианти с име app-release.apk с идентификатори на пакети като com.abcdefg.w568b и com.abcdef.w568b , както и app-release-signed (14).apk, означен като com. whatsapp.chma14 . Освен това има файлове с имена app.apk с идентификатори като com.whatsapp.chma14p , com.whatsapp.w568bp и com.whatsapp.w568b .
Подобно на наскоро възобновения троянски кон Mandrake за Android, BlankBot използва базиран на сесия инсталатор на пакети, за да заобиколи функцията за ограничени настройки, въведена в Android 13, която не позволява на странично заредените приложения да изискват директно опасни разрешения. BlankBot моли жертвата да разреши инсталирането на приложения от източници на трети страни, извлича APK файла, съхранен в директорията с активи на приложението, без криптиране, и продължава с инсталационния процес.
Заплашващите възможности на банковия троян BlankBot
Злонамереният софтуер предлага широк набор от функции, включително запис на екрана, записване на клавиши и инжектиране на наслагване, задействано от специфични команди от отдалечен сървър. Неговата основна цел е да улови идентификационни данни за банкова сметка, информация за плащане и дори схема за отключване на устройството.
В допълнение към тези възможности BlankBot може да прихваща SMS съобщения, да деинсталира произволни приложения и да събира данни като списъци с контакти и инсталирани приложения. Той също така използва API на услугите за достъпност, за да блокира достъпа на потребителя до настройките на устройството или да стартира софтуер против зловреден софтуер.
Въпреки че BlankBot е нов банков троянски кон за Android, който все още е в процес на разработка, както се вижда от различните варианти на код, наблюдавани в различни приложения, той вече е в състояние да изпълнява вредни действия, след като зарази устройство с Android.
Google прилага допълнителни мерки за защита на потребителите на Android
Google описа подробно мерките, които прилага, за да се справи с използването на симулатори на клетъчни сайтове, като Stingrays, за инжектиране на SMS съобщения директно в телефони с Android. Тази техника за измама, известна като SMS Blaster fraud, заобикаля мрежите на оператора и техните усъвършенствани филтри за защита от спам и измами, като създава фалшива LTE или 5G мрежа, която принуждава връзката на потребителя да се върне към наследен 2G протокол.
За да се бори с този проблем, Google въведе смекчаващи мерки, които включват позволяване на потребителите да деактивират 2G връзки на ниво модем и да изключат нулевите шифри. Нулевите шифри са от решаващо значение за фалшивата базова станция за инжектиране на SMS полезни товари.
