BlankBot Banking Trooja
Küberjulgeoleku teadlased paljastasid uue Androidi pangandustrooja nimega BlankBot, mis on suunatud Türgi kasutajatele finantsteabe varastamiseks. BlankBotil on mitmesuguseid ähvardavaid võimalusi, sealhulgas klientide süstimine, klahvilogimine ja ekraani salvestamine. See suhtleb juhtserveriga WebSocket-ühenduse kaudu.
Esimest korda tuvastati 2024. aasta juulis, BlankBot on väidetavalt endiselt aktiivses arenduses. Pahavara kasutab nakatunud seadmete üle täielikuks kontrolliks Androidi juurdepääsetavuse teenuste õigusi.
Sisukord
BlankBot levib võltsrakenduste kaudu
Mõned rikutud APK-failid, mis sisaldavad BlankBoti, sisaldavad variatsioone nimega app-release.apk koos paketiidentifikaatoritega (nt com.abcdefg.w568b ja com.abcdef.w568b ), samuti rakenduse väljalaske allkirjastatud (14).apk-ga, mis on märgistatud kui com. whatsapp.chma14 . Lisaks on faile nimega app.apk identifikaatoritega com.whatsapp.chma14p , com.whatsapp.w568bp ja com.whatsapp.w568b .
Sarnaselt hiljuti taasilmunud Mandrake Androidi troojalasega kasutab BlankBot seansipõhist paketiinstallerit, et vältida operatsioonisüsteemis Android 13 kasutusele võetud piiratud seadete funktsiooni, mis takistab külglaaditud rakendustel ohtlikke lubasid otse taotlemast. BlankBot palub ohvril lubada rakenduste installimist kolmandate osapoolte allikatest, hangib ilma krüptimata rakenduste varade kataloogi salvestatud APK-faili ja jätkab installiprotsessi.
BlankBot Banking Trooja ohustavad võimalused
Pahavara pakub laias valikus funktsioone, sealhulgas ekraani salvestamist, klahvilogimist ja kaugserveri konkreetsete käskudega käivitatud ülekattesüste. Selle esmane eesmärk on jäädvustada pangakonto mandaadid, makseteave ja isegi seadme avamismuster.
Lisaks nendele võimalustele saab BlankBot pealt kuulata SMS-sõnumeid, desinstallida suvalisi rakendusi ja koguda andmeid, näiteks kontaktide loendeid ja installitud rakendusi. Samuti kasutab see hõlbustusteenuste API-d, et blokeerida kasutajal juurdepääs seadme seadetele või pahavaratõrjetarkvara käivitamine.
Kuigi BlankBot on uus Androidi pangandustroojalane, mida veel arendatakse, nagu näitavad erinevates rakendustes nähtud erinevad koodivariandid, on see juba võimeline sooritama kahjulikke toiminguid, kui see Android-seadme nakatab.
Google rakendab Androidi kasutajate kaitsmiseks lisameetmeid
Google on üksikasjalikult kirjeldanud meetmeid, mida ta rakendab, et käsitleda mobiilisaitide simulaatorite (nt Stingrays) kasutamist SMS-sõnumite otse Android-telefonidesse süstimiseks. See SMS Blasteri pettusena tuntud pettustehnika läheb mööda operaatorivõrkudest ja nende täiustatud rämpsposti- ja pettusevastastest filtritest, luues võlts-LTE- või 5G-võrgu, mis sunnib kasutaja ühendust naasma pärandi 2G-protokollile.
Selle probleemiga võitlemiseks on Google võtnud kasutusele leevendusmeetmed, mis hõlmavad lubamist kasutajatel modemi tasemel 2G-ühendused keelata ja nullšifrid välja lülitada. Nullšifrid on valetugijaama jaoks SMS-i kasuliku koormuse sisestamiseks üliolulised.
