BlankBot bankarski trojanac
Istraživači kibernetičke sigurnosti razotkrili su novi bankovni trojanac za Android nazvan BlankBot, koji cilja turske korisnike kako bi ukrao financijske podatke. BlankBot posjeduje razne prijeteće mogućnosti, uključujući ubacivanje korisnika, keylogging i snimanje zaslona. Komunicira s kontrolnim poslužiteljem putem WebSocket veze.
Prvi put identificiran u srpnju 2024., BlankBot je navodno još uvijek u aktivnom razvoju. Zlonamjerni softver iskorištava dopuštenja usluga pristupačnosti Androida kako bi dobio potpunu kontrolu nad zaraženim uređajima.
Sadržaj
BlankBot se širi putem lažnih aplikacija
Neke od oštećenih APK datoteka koje sadrže BlankBot uključuju varijacije pod nazivom app-release.apk s identifikatorima paketa kao što su com.abcdefg.w568b i com.abcdef.w568b , kao i app-release-signed (14).apk označen kao com. whatsapp.chma14 . Osim toga, postoje datoteke pod nazivom app.apk s identifikatorima kao što su com.whatsapp.chma14p , com.whatsapp.w568bp i com.whatsapp.w568b .
Slično kao i Android trojanac Mandrake koji se nedavno pojavio, BlankBot koristi program za instalaciju paketa koji se temelji na sesiji kako bi zaobišao značajku ograničenih postavki uvedenu u Androidu 13, koja sprječava bočno učitane aplikacije da izravno zatraže nesigurna dopuštenja. BlankBot traži od žrtve da dopusti instalaciju aplikacija iz izvora trećih strana, dohvaća APK datoteku pohranjenu u imeniku sredstava aplikacije bez enkripcije i nastavlja s postupkom instalacije.
Prijeteće mogućnosti bankarskog trojana BlankBot
Zlonamjerni softver nudi široku lepezu značajki, uključujući snimanje zaslona, keylogging i ubacivanje preklapanja koje pokreću određene naredbe s udaljenog poslužitelja. Njegov primarni cilj je uhvatiti vjerodajnice bankovnog računa, podatke o plaćanju, pa čak i uzorak za otključavanje uređaja.
Uz ove mogućnosti, BlankBot može presresti SMS poruke, deinstalirati proizvoljne aplikacije i prikupljati podatke poput popisa kontakata i instaliranih aplikacija. Također iskorištava API usluga pristupačnosti kako bi korisniku blokirao pristup postavkama uređaja ili pokretanje softvera protiv zlonamjernog softvera.
Iako je BlankBot novi Android bankarski trojanac koji je još uvijek u razvoju, kao što pokazuju različite varijante koda viđene u različitim aplikacijama, već je sposoban izvršiti štetne radnje nakon što zarazi Android uređaj.
Google provodi dodatne mjere za zaštitu korisnika Androida
Google je detaljno opisao mjere koje provodi za rješavanje upotrebe simulatora stanica, kao što su Stingrays, za ubacivanje SMS poruka izravno u Android telefone. Ova tehnika prijevare, poznata kao SMS Blaster prijevara, zaobilazi mreže operatera i njihove napredne filtre protiv neželjene pošte i prijevare stvaranjem lažne LTE ili 5G mreže koja prisiljava korisničku vezu da se vrati na naslijeđeni 2G protokol.
Za borbu protiv ovog problema Google je uveo mjere ublažavanja koje uključuju dopuštanje korisnicima da onemoguće 2G veze na razini modema i isključe nulte šifre. Null šifre su presudne za lažnu baznu stanicu za ubacivanje SMS sadržaja.
