تروجان بانکی BlankBot

محققان امنیت سایبری یک تروجان بانکی اندروید جدید به نام BlankBot را افشا کردند که کاربران ترک را برای سرقت اطلاعات مالی هدف قرار می دهد. BlankBot دارای قابلیت‌های تهدیدکننده مختلفی است، از جمله تزریق مشتری، keylogging و ضبط صفحه. از طریق یک اتصال WebSocket با یک سرور کنترل ارتباط برقرار می کند.

BlankBot اولین بار در جولای 2024 شناسایی شد و طبق گزارش ها هنوز در حال توسعه فعال است. این بدافزار از مجوزهای سرویس های دسترسی اندروید برای به دست آوردن کنترل کامل بر دستگاه های آلوده سوء استفاده می کند.

BlankBot از طریق برنامه های کاربردی جعلی پخش می شود

برخی از فایل‌های APK خراب حاوی BlankBot شامل تغییراتی به نام app-release.apk با شناسه‌های بسته مانند com.abcdefg.w568b و com.abcdef.w568b و همچنین دارای امضای انتشار برنامه (14).apk با برچسب com هستند. whatsapp.chma14 . علاوه بر این، فایل‌هایی با نام app.apk با شناسه‌هایی مانند com.whatsapp.chma14p ، com.whatsapp.w568bp و com.whatsapp.w568b وجود دارد.

مانند تروجان اندروید Mandrake که اخیراً دوباره ظاهر شده است، BlankBot از یک نصب کننده بسته مبتنی بر جلسه برای دور زدن ویژگی تنظیمات محدود معرفی شده در Android 13 استفاده می کند، که از درخواست مستقیم مجوزهای ناامن توسط برنامه های جانبی جلوگیری می کند. BlankBot از قربانی می خواهد که اجازه نصب برنامه ها را از منابع شخص ثالث بدهد، فایل APK ذخیره شده در فهرست دارایی های برنامه را بدون رمزگذاری بازیابی می کند و مراحل نصب را ادامه می دهد.

قابلیت های تهدید آمیز تروجان بانکی BlankBot

این بدافزار طیف وسیعی از ویژگی‌ها را ارائه می‌دهد، از جمله ضبط صفحه، keylogging، و تزریق همپوشانی که توسط دستورات خاصی از یک سرور راه دور ایجاد می‌شود. هدف اصلی آن گرفتن اطلاعات حساب بانکی، اطلاعات پرداخت و حتی الگوی باز کردن قفل دستگاه است.

علاوه بر این قابلیت ها، BlankBot می تواند پیام های SMS را رهگیری کند، برنامه های کاربردی دلخواه را حذف کند و داده هایی مانند لیست مخاطبین و برنامه های نصب شده را جمع آوری کند. همچنین از API سرویس‌های دسترسی برای جلوگیری از دسترسی کاربر به تنظیمات دستگاه یا راه‌اندازی نرم‌افزار ضد بدافزار استفاده می‌کند.

اگرچه BlankBot یک تروجان بانکی اندرویدی جدید است که هنوز در حال توسعه است، همانطور که انواع کدهای مختلفی که در برنامه های مختلف دیده می شود نشان می دهد، در حال حاضر قادر به اجرای اقدامات مضر پس از آلوده شدن یک دستگاه اندرویدی است.

گوگل تدابیر دیگری را برای محافظت از کاربران اندروید اجرا می کند

گوگل اقداماتی را که برای مقابله با استفاده از شبیه‌سازهای سایت سلولی مانند Stingrays برای تزریق مستقیم پیام‌های SMS به گوشی‌های اندرویدی انجام می‌دهد، به تفصیل شرح داده است. این تکنیک کلاهبرداری که به عنوان کلاهبرداری SMS Blaster شناخته می شود، با ایجاد یک شبکه LTE یا 5G جعلی که اتصال کاربر را مجبور به بازگشت به پروتکل قدیمی 2G می کند، شبکه های حامل و فیلترهای ضد هرزنامه و ضد تقلب پیشرفته آنها را دور می زند.

برای مقابله با این مشکل، گوگل اقدامات کاهشی را ارائه کرده است که شامل اجازه دادن به کاربران برای غیرفعال کردن اتصالات 2G در سطح مودم و غیرفعال کردن رمزهای تهی است. رمزهای پوچ برای یک ایستگاه پایه نادرست برای تزریق بارهای پیامکی بسیار مهم هستند.