BlankBot Banking Troijalainen
Kyberturvallisuustutkijat ovat paljastaneet uuden Android-pankkitroijalaisen nimeltä BlankBot, joka kohdistaa turkkilaiset käyttäjät varastamaan taloudellisia tietoja. BlankBotilla on useita uhkaavia ominaisuuksia, kuten asiakkaiden injektointi, näppäinloki ja näytön tallennus. Se kommunikoi ohjauspalvelimen kanssa WebSocket-yhteyden kautta.
Ensimmäisen kerran heinäkuussa 2024 tunnistettu BlankBot on kuulemma edelleen aktiivisessa kehityksessä. Haittaohjelma hyödyntää Androidin esteettömyyspalvelujen käyttöoikeuksia saadakseen täydellisen hallinnan tartunnan saaneisiin laitteisiin.
Sisällysluettelo
BlankBot leviää väärennettyjen sovellusten kautta
Jotkut BlankBotin sisältävistä vioittuneista APK-tiedostoista sisältävät muunnelmia nimeltä app-release.apk pakettitunnisteilla, kuten com.abcdefg.w568b ja com.abcdef.w568b , sekä app-release-allekirjoitettua (14).apk, joka on merkitty nimellä com. whatsapp.chma14 . Lisäksi on olemassa tiedostoja nimeltä app.apk, joiden tunnisteet kuten com.whatsapp.chma14p , com.whatsapp.w568bp ja com.whatsapp.w568b .
Aivan kuten äskettäin uusittu Mandrake Android Troijalainen, BlankBot käyttää istuntopohjaista paketin asennusohjelmaa kiertääkseen Android 13:ssa käyttöön otettua rajoitettua asetusominaisuutta, joka estää sivulta ladattuja sovelluksia pyytämästä suoraan vaarallisia käyttöoikeuksia. BlankBot pyytää uhria sallimaan sovellusten asennuksen kolmannen osapuolen lähteistä, hakee sovellusomaisuushakemistoon tallennetun APK-tiedoston ilman salausta ja jatkaa asennusta.
BlankBot Banking Troijan uhkaavat ominaisuudet
Haittaohjelma tarjoaa laajan valikoiman ominaisuuksia, kuten näytön tallentamisen, näppäinlokituksen ja peittokuvan lisäykset, jotka laukaisevat tietyt etäpalvelimen komennot. Sen ensisijaisena tavoitteena on kaapata pankkitilitiedot, maksutiedot ja jopa laitteen lukituksen avauskuvio.
Näiden ominaisuuksien lisäksi BlankBot voi siepata tekstiviestejä, poistaa mielivaltaisia sovelluksia ja kerätä tietoja, kuten yhteystietoluetteloita ja asennettuja sovelluksia. Se käyttää myös esteettömyyspalveluiden sovellusliittymää estääkseen käyttäjää pääsemästä laitteen asetuksiin tai käynnistämästä haittaohjelmien torjuntaohjelmistoa.
Vaikka BlankBot on uusi Android-pankkitroijalainen, joka on edelleen kehitteillä, kuten eri sovelluksissa havaitut koodimuunnelmat osoittavat, se pystyy jo suorittamaan haitallisia toimia, kun se tartuttaa Android-laitteen.
Google toteuttaa lisätoimenpiteitä Android-käyttäjien suojelemiseksi
Google on täsmentänyt toimenpiteet, joita se toteuttaa puuttuakseen solusivustosimulaattorien, kuten Stingrays, käyttöön tekstiviestien ruiskuttamiseen suoraan Android-puhelimiin. Tämä SMS Blaster -petoksena tunnettu petostekniikka ohittaa operaattoriverkot ja niiden kehittyneet roskaposti- ja petostentorjuntasuodattimet luomalla väärennetyn LTE- tai 5G-verkon, joka pakottaa käyttäjän yhteyden palaamaan vanhaan 2G-protokollaan.
Tämän ongelman torjumiseksi Google on ottanut käyttöön lieventäviä toimenpiteitä, joihin kuuluu mahdollisuus poistaa käytöstä 2G-yhteydet modeemitasolla ja poistaa tyhjät salaukset käytöstä. Tyhjäsalaukset ovat välttämättömiä väärälle tukiasemalle tekstiviestien hyötykuormien syöttämiseksi.
