Trojan Perbankan BlankBot
Penyelidik keselamatan siber telah mendedahkan Trojan perbankan Android baharu bernama BlankBot, yang menyasarkan pengguna Turki untuk mencuri maklumat kewangan. BlankBot mempunyai pelbagai keupayaan mengancam, termasuk suntikan pelanggan, pengelogan kunci dan rakaman skrin. Ia berkomunikasi dengan pelayan kawalan melalui sambungan WebSocket.
Mula dikenal pasti pada Julai 2024, BlankBot dilaporkan masih dalam pembangunan aktif. Perisian hasad mengeksploitasi kebenaran perkhidmatan kebolehcapaian Android untuk mendapatkan kawalan sepenuhnya ke atas peranti yang dijangkiti.
Isi kandungan
Penyebaran BlankBot melalui Aplikasi Palsu
Beberapa fail APK rosak yang mengandungi BlankBot termasuk variasi bernama app-release.apk dengan pengecam pakej seperti com.abcdefg.w568b dan com.abcdef.w568b , serta app-release-signed (14).apk yang dilabelkan sebagai com. whatsapp.chma14 . Selain itu, terdapat fail bernama app.apk dengan pengecam seperti com.whatsapp.chma14p , com.whatsapp.w568bp dan com.whatsapp.w568b .
Sama seperti Mandrake Android Trojan yang muncul semula baru-baru ini, BlankBot menggunakan pemasang pakej berasaskan sesi untuk memintas ciri tetapan terhad yang diperkenalkan dalam Android 13, yang menghalang aplikasi yang dimuat sisi daripada meminta kebenaran yang tidak selamat secara langsung. BlankBot meminta mangsa membenarkan pemasangan aplikasi daripada sumber pihak ketiga, mendapatkan semula fail APK yang disimpan dalam direktori aset aplikasi tanpa penyulitan dan meneruskan proses pemasangan.
Keupayaan Mengancam Trojan Perbankan BlankBot
Malware menawarkan pelbagai ciri, termasuk rakaman skrin, pengelogan kunci dan suntikan tindanan yang dicetuskan oleh arahan khusus daripada pelayan jauh. Matlamat utamanya ialah untuk menangkap bukti kelayakan akaun bank, maklumat pembayaran, dan juga corak buka kunci peranti.
Sebagai tambahan kepada keupayaan ini, BlankBot boleh memintas mesej SMS, menyahpasang aplikasi sewenang-wenangnya dan mengumpul data seperti senarai kenalan dan aplikasi yang dipasang. Ia juga mengeksploitasi API perkhidmatan kebolehcapaian untuk menyekat pengguna daripada mengakses tetapan peranti atau melancarkan perisian anti-malware.
Walaupun BlankBot ialah Trojan perbankan Android baharu yang masih dalam pembangunan, seperti yang ditunjukkan oleh pelbagai varian kod yang dilihat dalam aplikasi yang berbeza, ia sudah mampu melaksanakan tindakan berbahaya sebaik sahaja ia menjangkiti peranti Android.
Google Melaksanakan Langkah Tambahan untuk Melindungi Pengguna Android
Google telah memperincikan langkah yang sedang dilaksanakan untuk menangani penggunaan simulator tapak sel, seperti Stingrays, untuk menyuntik mesej SMS terus ke dalam telefon Android. Teknik penipuan ini, yang dikenali sebagai penipuan SMS Blaster, memintas rangkaian pembawa dan penapis anti-spam dan anti-penipuan lanjutan mereka dengan mencipta rangkaian LTE atau 5G palsu yang memaksa sambungan pengguna untuk kembali kepada protokol 2G lama.
Untuk memerangi isu ini, Google telah memperkenalkan langkah mitigasi yang termasuk membenarkan pengguna melumpuhkan sambungan 2G pada tahap modem dan mematikan sifir nol. Sifir null adalah penting untuk Stesen Pangkalan Palsu untuk menyuntik muatan SMS.
