Trojan bancario BlankBot
I ricercatori di sicurezza informatica hanno scoperto un nuovo trojan bancario Android denominato BlankBot, che prende di mira gli utenti turchi per rubare informazioni finanziarie. BlankBot possiede varie capacità minacciose, tra cui iniezioni di clienti, keylogging e registrazione dello schermo. Comunica con un server di controllo tramite una connessione WebSocket.
Identificato per la prima volta nel luglio 2024, BlankBot sarebbe ancora in fase di sviluppo attivo. Il malware sfrutta le autorizzazioni dei servizi di accessibilità di Android per ottenere il controllo completo sui dispositivi infetti.
Sommario
BlankBot si diffonde tramite applicazioni false
Alcuni dei file APK danneggiati contenenti BlankBot includono varianti denominate app-release.apk con identificatori di pacchetto come com.abcdefg.w568b e com.abcdef.w568b , nonché app-release-signed (14).apk etichettati come com. whatsapp.chma14 . Inoltre, ci sono file denominati app.apk con identificatori come com.whatsapp.chma14p , com.whatsapp.w568bp e com.whatsapp.w568b .
Proprio come il trojan Android Mandrake recentemente riemerso, BlankBot utilizza un programma di installazione del pacchetto basato su sessioni per aggirare la funzionalità delle impostazioni limitate introdotta in Android 13, che impedisce alle applicazioni trasferite lateralmente di richiedere direttamente autorizzazioni non sicure. BlankBot chiede alla vittima di consentire l'installazione di applicazioni da fonti di terze parti, recupera il file APK archiviato nella directory delle risorse dell'applicazione senza crittografia e procede con il processo di installazione.
Le capacità minacciose del trojan bancario BlankBot
Il malware offre un'ampia gamma di funzionalità, tra cui la registrazione dello schermo, il keylogging e le iniezioni di overlay attivate da comandi specifici da un server remoto. Il suo scopo principale è acquisire le credenziali del conto bancario, le informazioni di pagamento e persino la sequenza di sblocco del dispositivo.
Oltre a queste funzionalità, BlankBot può intercettare messaggi SMS, disinstallare applicazioni arbitrarie e raccogliere dati come elenchi di contatti e applicazioni installate. Sfrutta inoltre l'API dei servizi di accessibilità per impedire all'utente di accedere alle impostazioni del dispositivo o di avviare software antimalware.
Sebbene BlankBot sia un nuovo trojan bancario Android ancora in fase di sviluppo, come indicano le diverse varianti di codice presenti in diverse applicazioni, è già in grado di eseguire azioni dannose una volta infettato un dispositivo Android.
Google implementa misure aggiuntive per proteggere gli utenti Android
Google ha dettagliato le misure che sta implementando per affrontare l'uso di simulatori di siti cellulari, come Stingrays, per inviare messaggi SMS direttamente nei telefoni Android. Questa tecnica di frode, nota come frode SMS Blaster, aggira le reti degli operatori e i loro filtri anti-spam e anti-frode avanzati creando una falsa rete LTE o 5G che forza la connessione dell'utente a tornare a un protocollo 2G legacy.
Per combattere questo problema, Google ha introdotto misure di mitigazione che includono la possibilità per gli utenti di disabilitare le connessioni 2G a livello di modem e disattivare le cifre nulle. Le cifre nulle sono cruciali affinché una falsa stazione base possa iniettare payload SMS.
