Bankovní trojan BlankBot
Výzkumníci v oblasti kybernetické bezpečnosti odhalili nového trojského koně pro Android bankovnictví s názvem BlankBot, který se zaměřuje na turecké uživatele, aby ukradli finanční informace. BlankBot má různé hrozby, včetně zákaznických injekcí, keylogging a nahrávání obrazovky. Komunikuje s řídicím serverem prostřednictvím připojení WebSocket.
BlankBot, který byl poprvé identifikován v červenci 2024, je údajně stále v aktivním vývoji. Malware využívá oprávnění služeb přístupnosti systému Android k získání úplné kontroly nad infikovanými zařízeními.
Obsah
BlankBot se šíří prostřednictvím falešných aplikací
Některé z poškozených souborů APK obsahujících BlankBot zahrnují varianty s názvem app-release.apk s identifikátory balíčku, jako je com.abcdefg.w568b a com.abcdef.w568b , a také app-release-signed (14).apk označený jako com. whatsapp.chma14 . Kromě toho existují soubory s názvem app.apk s identifikátory jako com.whatsapp.chma14p , com.whatsapp.w568bp a com.whatsapp.w568b .
Podobně jako nedávno obnovený trojský kůň Mandrake Android využívá BlankBot instalátor balíčků založený na relaci, aby obešel funkci omezených nastavení zavedenou v Androidu 13, která brání aplikacím staženým z počítače přímo vyžadovat nebezpečná oprávnění. BlankBot požádá oběť, aby povolila instalaci aplikací ze zdrojů třetích stran, načte soubor APK uložený v adresáři aktiv aplikace bez šifrování a pokračuje v procesu instalace.
Ohrožující schopnosti trojského koně BlankBot Banking
Malware nabízí širokou škálu funkcí, včetně nahrávání obrazovky, keyloggingu a překryvných injekcí spouštěných konkrétními příkazy ze vzdáleného serveru. Jeho primárním cílem je zachytit přihlašovací údaje k bankovnímu účtu, platební údaje a dokonce i odemykací vzor zařízení.
Kromě těchto možností může BlankBot zachytit SMS zprávy, odinstalovat libovolné aplikace a shromažďovat data, jako jsou seznamy kontaktů a nainstalované aplikace. Využívá také rozhraní API služeb přístupnosti k zablokování přístupu uživatele k nastavení zařízení nebo spouštění softwaru proti malwaru.
Ačkoli BlankBot je nový trojan pro Android bankovnictví, který se stále vyvíjí, jak naznačují různé varianty kódu v různých aplikacích, je již schopen provádět škodlivé akce, jakmile infikuje zařízení Android.
Google zavádí další opatření na ochranu uživatelů systému Android
Google podrobně popsal opatření, která zavádí, aby se vypořádal s používáním simulátorů mobilních sítí, jako jsou Stingrays, pro vkládání SMS zpráv přímo do telefonů Android. Tato podvodná technika, známá jako SMS Blaster podvod, obchází sítě operátorů a jejich pokročilé filtry proti spamu a podvodům vytvořením falešné sítě LTE nebo 5G, která přinutí připojení uživatele k návratu ke staršímu protokolu 2G.
V boji proti tomuto problému společnost Google zavedla zmírňující opatření, která zahrnují možnost uživatelům zakázat připojení 2G na úrovni modemu a vypnout nulové šifry. Nulové šifry jsou klíčové pro falešnou základnovou stanici pro vkládání dat SMS.
