BlankBot Banking Trojas zirgs
Kiberdrošības pētnieki ir atklājuši jaunu Android banku Trojas zirgu ar nosaukumu BlankBot, kura mērķis ir Turcijas lietotāji nozagt finanšu informāciju. BlankBot ir dažādas apdraudošas iespējas, tostarp klientu injekcijas, taustiņu reģistrēšana un ekrāna ierakstīšana. Tas sazinās ar vadības serveri, izmantojot WebSocket savienojumu.
Tiek ziņots, ka BlankBot pirmo reizi tika identificēts 2024. gada jūlijā, un tas joprojām tiek aktīvi izstrādāts. Ļaunprātīga programmatūra izmanto Android pieejamības pakalpojumu atļaujas, lai iegūtu pilnīgu kontroli pār inficētajām ierīcēm.
Satura rādītājs
BlankBot izplatīšana, izmantojot viltotas lietojumprogrammas
Dažos bojātajos APK failos, kas satur failu BlankBot, ir ietverti varianti app-release.apk ar pakotnes identifikatoriem, piemēram, com.abcdefg.w568b un com.abcdef.w568b , kā arī ar lietotnes izlaišanas parakstu (14).apk, kas apzīmēts kā com. whatsapp.chma14 . Turklāt ir faili ar nosaukumu app.apk ar tādiem identifikatoriem kā com.whatsapp.chma14p , com.whatsapp.w568bp un com.whatsapp.w568b .
Līdzīgi kā nesen atjaunotais Android Trojas zirgs Mandrake, BlankBot izmanto uz sesiju balstītu pakotņu instalētāju, lai apietu operētājsistēmā Android 13 ieviesto ierobežoto iestatījumu funkciju, kas neļauj blakus ielādētām lietojumprogrammām tieši pieprasīt nedrošas atļaujas. BlankBot lūdz upurim atļaut instalēt lietojumprogrammas no trešo pušu avotiem, izgūst lietojumprogrammas līdzekļu direktorijā saglabāto APK failu bez šifrēšanas un turpina instalēšanas procesu.
BlankBot banku Trojas zirga draudošās iespējas
Ļaunprātīga programmatūra piedāvā plašu funkciju klāstu, tostarp ekrāna ierakstīšanu, taustiņu reģistrēšanu un pārklājuma injekcijas, ko aktivizē noteiktas komandas no attālā servera. Tās galvenais mērķis ir iegūt bankas konta akreditācijas datus, maksājumu informāciju un pat ierīces atbloķēšanas modeli.
Papildus šīm iespējām BlankBot var pārtvert SMS ziņas, atinstalēt patvaļīgas lietojumprogrammas un apkopot tādus datus kā kontaktpersonu sarakstus un instalētās lietojumprogrammas. Tas arī izmanto pieejamības pakalpojumu API, lai bloķētu lietotāja piekļuvi ierīces iestatījumiem vai pretļaunatūras programmatūras palaišanu.
Lai gan BlankBot ir jauns Android banku Trojas zirgs, kas joprojām tiek izstrādāts, kā liecina dažādie koda varianti dažādās lietojumprogrammās, tas jau spēj veikt kaitīgas darbības, kad tas inficē Android ierīci.
Google ievieš papildu pasākumus, lai aizsargātu Android lietotājus
Google ir sīki izklāstījis pasākumus, ko tā īsteno, lai novērstu šūnu vietņu simulatoru, piemēram, Stingrays, izmantošanu SMS īsziņu ievadīšanai tieši Android tālruņos. Šis krāpšanas paņēmiens, kas pazīstams kā SMS Blaster krāpšana, apiet mobilo sakaru operatoru tīklus un to uzlabotos pretsurogātpasta un krāpšanas filtrus, izveidojot viltotu LTE vai 5G tīklu, kas liek lietotāja savienojumam atjaunot mantoto 2G protokolu.
Lai cīnītos pret šo problēmu, Google ir ieviesis mazināšanas pasākumus, kas ietver iespēju lietotājiem atspējot 2G savienojumus modema līmenī un izslēgt nulles šifrus. Nulles šifri ir ļoti svarīgi viltus bāzes stacijai, lai ievadītu SMS lietderīgās slodzes.
