Troià bancari BlankBot
Els investigadors de ciberseguretat han exposat un nou troià bancari per Android anomenat BlankBot, que té com a objectiu els usuaris turcs per robar informació financera. BlankBot té diverses capacitats amenaçadores, com ara injeccions de clients, registre de tecles i gravació de pantalla. Es comunica amb un servidor de control mitjançant una connexió WebSocket.
S'ha identificat per primera vegada el juliol de 2024, segons els informes, BlankBot encara està en desenvolupament actiu. El programari maliciós aprofita els permisos dels serveis d'accessibilitat d'Android per obtenir un control complet sobre els dispositius infectats.
Taula de continguts
BlankBot es propaga mitjançant aplicacions falses
Alguns dels fitxers APK danyats que contenen BlankBot inclouen variacions anomenades app-release.apk amb identificadors de paquets com com.abcdefg.w568b i com.abcdef.w568b , així com app-release-signed (14).apk etiquetat com a com. whatsapp.chma14 . A més, hi ha fitxers anomenats app.apk amb identificadors com com.whatsapp.chma14p , com.whatsapp.w568bp i com.whatsapp.w568b .
Igual que el recentment ressorgit del troià Mandrake Android, BlankBot utilitza un instal·lador de paquets basat en sessions per eludir la funció de configuració restringida introduïda a Android 13, que impedeix que les aplicacions de càrrega lateral sol·licitin directament permisos no segurs. BlankBot demana a la víctima que permeti la instal·lació d'aplicacions de fonts de tercers, recupera el fitxer APK emmagatzemat al directori d'actius de l'aplicació sense xifratge i continua amb el procés d'instal·lació.
Les capacitats amenaçadores del troià bancari BlankBot
El programari maliciós ofereix una àmplia gamma de funcions, com ara enregistrament de pantalla, registre de tecles i injeccions de superposició activades per ordres específiques d'un servidor remot. El seu objectiu principal és capturar les credencials del compte bancari, la informació de pagament i fins i tot el patró de desbloqueig del dispositiu.
A més d'aquestes capacitats, BlankBot pot interceptar missatges SMS, desinstal·lar aplicacions arbitràries i recopilar dades com ara llistes de contactes i aplicacions instal·lades. També aprofita l'API dels serveis d'accessibilitat per impedir que l'usuari accedeixi a la configuració del dispositiu o iniciï programari anti-malware.
Tot i que BlankBot és un nou troià bancari per Android encara en desenvolupament, tal com indiquen les diferents variants de codi que s'observen en diferents aplicacions, ja és capaç d'executar accions perjudicials un cop infecta un dispositiu Android.
Google implementa mesures addicionals per protegir els usuaris d'Android
Google ha detallat les mesures que està implementant per abordar l'ús de simuladors de llocs mòbils, com Stingrays, per injectar missatges SMS directament als telèfons Android. Aquesta tècnica de frau, coneguda com a frau SMS Blaster, evita les xarxes d'operadors i els seus filtres avançats antispam i antifrau mitjançant la creació d'una xarxa LTE o 5G falsa que obliga la connexió de l'usuari a tornar a un protocol 2G heretat.
Per combatre aquest problema, Google ha introduït mesures de mitigació que inclouen permetre als usuaris desactivar les connexions 2G a nivell de mòdem i desactivar els xifrats nuls. Els xifrats nuls són crucials perquè una estació base falsa injecti càrregues útils d'SMS.
