BlankBot Banking Trojos arklys
Kibernetinio saugumo tyrinėtojai atskleidė naują „Android“ bankininkystės Trojos arklys, pavadintas „BlankBot“, kuris skirtas Turkijos vartotojams pavogti finansinę informaciją. „BlankBot“ turi įvairių grėsmingų galimybių, įskaitant klientų injekcijas, klavišų registravimą ir ekrano įrašymą. Jis bendrauja su valdymo serveriu per WebSocket ryšį.
Pranešama, kad „BlankBot“, pirmą kartą aptiktas 2024 m. liepos mėn., vis dar aktyviai kuriamas. Kenkėjiška programa išnaudoja „Android“ pritaikymo neįgaliesiems paslaugų leidimus, kad visiškai kontroliuotų užkrėstus įrenginius.
Turinys
BlankBot plitimas per netikras programas
Kai kuriuose sugadintuose APK failuose, kuriuose yra „BlankBot“, yra variantų, pavadintų app-release.apk su paketo identifikatoriais, pvz., com.abcdefg.w568b ir com.abcdef.w568b , taip pat programos išleidimo pasirašytą (14).apk, pažymėtą kaip com. whatsapp.chma14 . Be to, yra failų, pavadintų app.apk su tokiais identifikatoriais kaip com.whatsapp.chma14p , com.whatsapp.w568bp ir com.whatsapp.w568b .
Panašiai kaip neseniai atnaujintas „Mandrake Android“ Trojos arklys, „BlankBot“ naudoja seansu pagrįstą paketų diegimo programą, kad apeitų „Android 13“ įdiegtą ribotų nustatymų funkciją, kuri neleidžia įkeltoms programoms tiesiogiai prašyti nesaugių leidimų. „BlankBot“ prašo aukos leisti įdiegti programas iš trečiųjų šalių šaltinių, nuskaito programos išteklių kataloge saugomą APK failą be šifravimo ir tęsia diegimo procesą.
„BlankBot Banking Trojan“ grėsmingos galimybės
Kenkėjiška programinė įranga siūlo daugybę funkcijų, įskaitant ekrano įrašymą, klavišų registravimą ir perdangos injekcijas, kurias suaktyvina konkrečios komandos iš nuotolinio serverio. Pagrindinis jo tikslas yra užfiksuoti banko sąskaitos kredencialus, mokėjimo informaciją ir net įrenginio atrakinimo šabloną.
Be šių galimybių, „BlankBot“ gali perimti SMS žinutes, pašalinti savavališkas programas ir rinkti duomenis, pvz., kontaktų sąrašus ir įdiegtas programas. Ji taip pat naudoja pritaikymo neįgaliesiems paslaugų API, kad neleistų vartotojui pasiekti įrenginio nustatymų arba paleisti apsaugos nuo kenkėjiškų programų programinę įrangą.
Nors „BlankBot“ yra naujas „Android“ bankininkystės Trojos arklys, vis dar kuriamas, kaip rodo įvairūs kodo variantai, matomi įvairiose programose, užkrėsti „Android“ įrenginį, jis jau gali atlikti žalingus veiksmus.
„Google“ imasi papildomų priemonių „Android“ naudotojams apsaugoti
„Google“ išsamiai išdėstė priemones, kurias ji įgyvendina, kad būtų pašalintas mobiliųjų svetainių treniruoklių, tokių kaip „Stingrays“, naudojimas SMS žinutėms tiesiogiai įvesti į „Android“ telefonus. Ši sukčiavimo technika, žinoma kaip SMS Blaster sukčiavimas, apeina operatorių tinklus ir jų pažangius anti-spam ir kovos su sukčiavimu filtrus sukurdama netikrą LTE arba 5G tinklą, kuris priverčia vartotojo ryšį atkurti seną 2G protokolą.
Siekdama kovoti su šia problema, „Google“ įdiegė švelninimo priemones, kurios apima galimybę vartotojams išjungti 2G ryšį modemo lygiu ir išjungti nulinius šifrus. Nuliniai šifrai yra labai svarbūs klaidingai bazinei stočiai, kad būtų galima įvesti SMS naudingąsias apkrovas.
