BlankBot Banking Trojan
Ερευνητές κυβερνοασφάλειας αποκάλυψαν ένα νέο τραπεζικό Trojan Android που ονομάζεται BlankBot, το οποίο στοχεύει Τούρκους χρήστες για να κλέψουν οικονομικές πληροφορίες. Το BlankBot διαθέτει διάφορες απειλητικές δυνατότητες, όπως εισαγωγές πελατών, καταγραφή πλήκτρων και εγγραφή οθόνης. Επικοινωνεί με έναν διακομιστή ελέγχου μέσω μιας σύνδεσης WebSocket.
Αναγνωρίστηκε για πρώτη φορά τον Ιούλιο του 2024, το BlankBot φέρεται να βρίσκεται ακόμη σε ενεργό ανάπτυξη. Το κακόβουλο λογισμικό εκμεταλλεύεται τις άδειες των υπηρεσιών προσβασιμότητας του Android για να αποκτήσει τον πλήρη έλεγχο των μολυσμένων συσκευών.
Πίνακας περιεχομένων
Το BlankBot διαδίδεται μέσω ψεύτικων εφαρμογών
Μερικά από τα κατεστραμμένα αρχεία APK που περιέχουν BlankBot περιλαμβάνουν παραλλαγές που ονομάζονται app-release.apk με αναγνωριστικά πακέτων όπως com.abcdefg.w568b και com.abcdef.w568b , καθώς και υπογεγραμμένη έκδοση (14).apk με την ένδειξη com. whatsapp.chma14 . Επιπλέον, υπάρχουν αρχεία με το όνομα app.apk με αναγνωριστικά όπως com.whatsapp.chma14p , com.whatsapp.w568bp και com.whatsapp.w568b .
Όπως και το Mandrake Android Trojan που επανεμφανίστηκε πρόσφατα, το BlankBot χρησιμοποιεί ένα πρόγραμμα εγκατάστασης πακέτων που βασίζεται σε περιόδους λειτουργίας για να παρακάμψει τη λειτουργία περιορισμένων ρυθμίσεων που εισήχθη στο Android 13, η οποία εμποδίζει τις πλευρικές εφαρμογές να ζητούν απευθείας μη ασφαλείς άδειες. Το BlankBot ζητά από το θύμα να επιτρέψει την εγκατάσταση εφαρμογών από πηγές τρίτων, ανακτά το αρχείο APK που είναι αποθηκευμένο στον κατάλογο στοιχείων της εφαρμογής χωρίς κρυπτογράφηση και συνεχίζει τη διαδικασία εγκατάστασης.
Οι Απειλητικές Δυνατότητες του BlankBot Banking Trojan
Το κακόβουλο λογισμικό προσφέρει μια ευρεία γκάμα λειτουργιών, συμπεριλαμβανομένης της εγγραφής οθόνης, της καταγραφής πλήκτρων και των εγχύσεων επικάλυψης που ενεργοποιούνται από συγκεκριμένες εντολές από έναν απομακρυσμένο διακομιστή. Ο πρωταρχικός του στόχος είναι να καταγράψει τα διαπιστευτήρια τραπεζικού λογαριασμού, τις πληροφορίες πληρωμής, ακόμη και το μοτίβο ξεκλειδώματος της συσκευής.
Εκτός από αυτές τις δυνατότητες, το BlankBot μπορεί να υποκλέψει μηνύματα SMS, να απεγκαταστήσει αυθαίρετες εφαρμογές και να συλλέξει δεδομένα όπως λίστες επαφών και εγκατεστημένες εφαρμογές. Επίσης, εκμεταλλεύεται το API υπηρεσιών προσβασιμότητας για να εμποδίσει τον χρήστη να έχει πρόσβαση στις ρυθμίσεις της συσκευής ή να εκκινήσει λογισμικό κατά του κακόβουλου λογισμικού.
Παρόλο που το BlankBot είναι ένας νέος τραπεζικός Trojan Android που βρίσκεται ακόμη υπό ανάπτυξη, όπως υποδεικνύεται από τις διάφορες παραλλαγές κώδικα που εμφανίζονται σε διαφορετικές εφαρμογές, είναι ήδη ικανό να εκτελεί επιβλαβείς ενέργειες μόλις μολύνει μια συσκευή Android.
Η Google εφαρμόζει πρόσθετα μέτρα για την προστασία των χρηστών Android
Η Google έχει λεπτομερώς τα μέτρα που εφαρμόζει για την αντιμετώπιση της χρήσης προσομοιωτών ιστοτόπων κυψέλης, όπως οι Stingrays, για την έγχυση μηνυμάτων SMS απευθείας σε τηλέφωνα Android. Αυτή η τεχνική απάτης, γνωστή ως απάτη SMS Blaster, παρακάμπτει τα δίκτυα παρόχων και τα προηγμένα φίλτρα κατά της ανεπιθύμητης αλληλογραφίας και της απάτης δημιουργώντας ένα ψεύτικο δίκτυο LTE ή 5G που αναγκάζει τη σύνδεση του χρήστη να επανέλθει σε ένα παλαιού τύπου πρωτόκολλο 2G.
Για την καταπολέμηση αυτού του προβλήματος, η Google εισήγαγε μέτρα μετριασμού που περιλαμβάνουν τη δυνατότητα στους χρήστες να απενεργοποιούν τις συνδέσεις 2G σε επίπεδο μόντεμ και να απενεργοποιούν τους μηδενικούς κρυπτογράφησης. Οι μηδενικοί κρυπτογράφηση είναι ζωτικής σημασίας για έναν False Base Station να εισάγει ωφέλιμα φορτία SMS.
