BlankBot Banking Trojan
Cybersikkerhedsforskere har afsløret en ny Android-banktrojaner ved navn BlankBot, som retter sig mod tyrkiske brugere for at stjæle økonomiske oplysninger. BlankBot besidder forskellige truende egenskaber, herunder kundeinjektioner, keylogging og skærmoptagelse. Den kommunikerer med en kontrolserver via en WebSocket-forbindelse.
BlankBot blev først identificeret i juli 2024 og er angiveligt stadig i aktiv udvikling. Malwaren udnytter Androids tilgængelighedstjenesters tilladelser til at få fuldstændig kontrol over inficerede enheder.
Indholdsfortegnelse
BlankBot-spredning via falske applikationer
Nogle af de beskadigede APK-filer, der indeholder BlankBot, inkluderer varianter med navnet app-release.apk med pakke-id'er såsom com.abcdefg.w568b og com.abcdef.w568b samt app-release-signeret (14).apk mærket som com. whatsapp.chma14 . Derudover er der filer med navnet app.apk med identifikatorer som com.whatsapp.chma14p , com.whatsapp.w568bp og com.whatsapp.w568b .
Ligesom den nyligt genopståede Mandrake Android-trojaner, anvender BlankBot et sessionsbaseret pakkeinstallationsprogram til at omgå den begrænsede indstillingsfunktion introduceret i Android 13, som forhindrer sideindlæste applikationer i direkte at anmode om usikre tilladelser. BlankBot beder offeret om at tillade installation af applikationer fra tredjepartskilder, henter APK-filen, der er gemt i applikationsaktiverbiblioteket uden kryptering, og fortsætter med installationsprocessen.
BlankBot Banking Trojans truende egenskaber
Malwaren tilbyder en bred vifte af funktioner, herunder skærmoptagelse, keylogging og overlejringsinjektioner udløst af specifikke kommandoer fra en ekstern server. Dens primære mål er at fange bankkontooplysninger, betalingsoplysninger og endda enhedens oplåsningsmønster.
Ud over disse muligheder kan BlankBot opsnappe SMS-beskeder, afinstallere vilkårlige applikationer og indsamle data såsom kontaktlister og installerede applikationer. Det udnytter også tilgængelighedstjenesters API til at blokere brugeren i at få adgang til enhedsindstillinger eller starte anti-malware-software.
Selvom BlankBot er en ny Android-banktrojaner, der stadig er under udvikling, som det fremgår af de forskellige kodevarianter, der ses i forskellige applikationer, er den allerede i stand til at udføre skadelige handlinger, når den først inficerer en Android-enhed.
Google implementerer yderligere foranstaltninger for at beskytte Android-brugere
Google har detaljeret de foranstaltninger, det implementerer for at imødegå brugen af mobilsitesimulatorer, såsom Stingrays, til at injicere SMS-beskeder direkte i Android-telefoner. Denne svindelteknik, kendt som SMS Blaster-svindel, omgår operatørnetværk og deres avancerede anti-spam- og anti-svindelfiltre ved at skabe et falsk LTE- eller 5G-netværk, der tvinger brugerens forbindelse til at vende tilbage til en ældre 2G-protokol.
For at bekæmpe dette problem har Google indført afbødende foranstaltninger, der inkluderer at give brugere mulighed for at deaktivere 2G-forbindelser på modemniveau og deaktivere null-cifre. Nul-cifre er afgørende for, at en falsk basestation kan injicere SMS-nyttelast.
