BlankBot Banking Trojan
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានលាតត្រដាងនូវ Trojan ធនាគារ Android ថ្មីមួយដែលមានឈ្មោះថា BlankBot ដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ទួរគីដើម្បីលួចព័ត៌មានហិរញ្ញវត្ថុ។ BlankBot មានសមត្ថភាពគម្រាមកំហែងផ្សេងៗ រួមទាំងការចាក់បញ្ចូលអតិថិជន ការចាក់សោរសោ និងការថតអេក្រង់។ វាទាក់ទងជាមួយម៉ាស៊ីនមេបញ្ជាតាមរយៈការតភ្ជាប់ WebSocket ។
ត្រូវបានកំណត់អត្តសញ្ញាណជាលើកដំបូងនៅក្នុងខែកក្កដា ឆ្នាំ 2024 BlankBot ត្រូវបានគេរាយការណ៍ថានៅតែស្ថិតក្នុងការអភិវឌ្ឍន៍សកម្ម។ មេរោគនេះទាញយកការអនុញ្ញាតសេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីទទួលបានការគ្រប់គ្រងពេញលេញលើឧបករណ៍ដែលមានមេរោគ។
តារាងមាតិកា
BlankBot រីករាលដាលតាមរយៈកម្មវិធីក្លែងក្លាយ
ឯកសារ APK មួយចំនួនដែលខូចដែលមាន BlankBot រួមមានការប្រែប្រួលដែលមានឈ្មោះថា app-release.apk ជាមួយនឹងកម្មវិធីកំណត់អត្តសញ្ញាណកញ្ចប់ដូចជា com.abcdefg.w568b និង com.abcdef.w568b ក៏ដូចជា app-release-signed (14).apk ដែលមានស្លាកថា com ។ whatsapp.chma14 ។ លើសពីនេះ មានឯកសារដែលមានឈ្មោះ app.apk ដែលមានឧបករណ៍សម្គាល់ដូចជា com.whatsapp.chma14p , com.whatsapp.w568bp និង com.whatsapp.w568b ។
ដូចគ្នានឹង Mandrake Android Trojan ដែលទើបនឹងលេចថ្មីដែរ BlankBot ប្រើកម្មវិធីដំឡើងកញ្ចប់ផ្អែកលើសម័យដើម្បីគេចពីមុខងារកំណត់កម្រិតដែលបានណែនាំនៅក្នុង Android 13 ដែលការពារកម្មវិធីដែលផ្ទុកពីចំហៀងពីការស្នើសុំការអនុញ្ញាតដែលមិនមានសុវត្ថិភាពដោយផ្ទាល់។ BlankBot ស្នើឱ្យជនរងគ្រោះអនុញ្ញាតឱ្យដំឡើងកម្មវិធីពីប្រភពភាគីទីបី ទាញយកឯកសារ APK ដែលរក្សាទុកក្នុងបញ្ជីទ្រព្យសកម្មរបស់កម្មវិធីដោយគ្មានការអ៊ិនគ្រីប ហើយបន្តដំណើរការដំឡើង។
សមត្ថភាពគំរាមកំហែងរបស់ BlankBot Banking Trojan
មេរោគផ្ដល់ជូននូវលក្ខណៈពិសេសជាច្រើន រួមទាំងការថតអេក្រង់ ការចាក់សោរ និងការចាក់លើផ្ទៃដែលបង្កឡើងដោយពាក្យបញ្ជាជាក់លាក់ពីម៉ាស៊ីនមេពីចម្ងាយ។ គោលបំណងចម្បងរបស់វាគឺដើម្បីចាប់យកព័ត៌មានសម្ងាត់គណនីធនាគារ ព័ត៌មានការទូទាត់ និងសូម្បីតែលំនាំដោះសោរបស់ឧបករណ៍។
បន្ថែមពីលើសមត្ថភាពទាំងនេះ BlankBot អាចស្ទាក់ចាប់សារ SMS លុបកម្មវិធីបំពាន និងប្រមូលទិន្នន័យដូចជាបញ្ជីទំនាក់ទំនង និងកម្មវិធីដែលបានដំឡើង។ វាក៏ប្រើប្រាស់ API សេវាកម្មភាពងាយស្រួលផងដែរ ដើម្បីរារាំងអ្នកប្រើប្រាស់ពីការចូលទៅកាន់ការកំណត់ឧបករណ៍ ឬបើកដំណើរការកម្មវិធីប្រឆាំងមេរោគ។
ទោះបីជា BlankBot គឺជា Trojan ធនាគារ Android ថ្មីដែលនៅតែស្ថិតក្នុងការអភិវឌ្ឍន៍ ដូចដែលបានបង្ហាញដោយកំណែកូដផ្សេងៗដែលឃើញនៅក្នុងកម្មវិធីផ្សេងៗគ្នា វាមានលទ្ធភាពដំណើរការសកម្មភាពបង្កគ្រោះថ្នាក់រួចហើយនៅពេលដែលវាឆ្លងទៅឧបករណ៍ Android ។
Google អនុវត្តវិធានការបន្ថែមដើម្បីការពារអ្នកប្រើប្រាស់ Android
Google បានរៀបរាប់លម្អិតអំពីវិធានការដែលខ្លួនកំពុងអនុវត្តដើម្បីដោះស្រាយការប្រើប្រាស់ឧបករណ៍ក្លែងធ្វើគេហទំព័រកោសិកា ដូចជា Stingrays សម្រាប់ការបញ្ចូលសារ SMS ដោយផ្ទាល់ទៅក្នុងទូរស័ព្ទ Android ។ បច្ចេកទេសក្លែងបន្លំនេះ ត្រូវបានគេស្គាល់ថាជាការក្លែងបន្លំ SMS Blaster ឆ្លងកាត់បណ្តាញក្រុមហ៊ុនដឹកជញ្ជូន និងតម្រងប្រឆាំងសារឥតបានការ និងប្រឆាំងការក្លែងបន្លំកម្រិតខ្ពស់របស់ពួកគេ ដោយបង្កើតបណ្តាញ LTE ឬ 5G ក្លែងក្លាយ ដែលបង្ខំឱ្យការតភ្ជាប់របស់អ្នកប្រើប្រាស់ត្រឡប់ទៅពិធីការ 2G ចាស់វិញ។
ដើម្បីប្រយុទ្ធប្រឆាំងនឹងបញ្ហានេះ Google បានដាក់ចេញនូវវិធានការកាត់បន្ថយ ដែលរួមមានការអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បិទការភ្ជាប់ 2G នៅកម្រិតម៉ូដឹម និងបិទការសរសេរកូដ null ។ Null ciphers គឺមានសារៈសំខាន់សម្រាប់ស្ថានីយ៍ False Base Station ដើម្បីបញ្ចូលបន្ទុក SMS ។
