BlankBot Banking Trojan
Cybersikkerhetsforskere har avslørt en ny Android-banktrojaner kalt BlankBot, som retter seg mot tyrkiske brukere for å stjele økonomisk informasjon. BlankBot besitter ulike truende evner, inkludert kundeinjeksjoner, tastelogging og skjermopptak. Den kommuniserer med en kontrollserver via en WebSocket-tilkobling.
BlankBot ble først identifisert i juli 2024, og er angivelig fortsatt i aktiv utvikling. Skadevaren utnytter Androids tilgangstjenesters tillatelser for å få full kontroll over infiserte enheter.
Innholdsfortegnelse
BlankBot-spredning via falske applikasjoner
Noen av de ødelagte APK-filene som inneholder BlankBot inkluderer varianter kalt app-release.apk med pakkeidentifikatorer som com.abcdefg.w568b og com.abcdef.w568b , samt app-release-signert (14).apk merket som com. whatsapp.chma14 . I tillegg er det filer som heter app.apk med identifikatorer som com.whatsapp.chma14p , com.whatsapp.w568bp og com.whatsapp.w568b .
På samme måte som den nylig gjenoppståtte Mandrake Android-trojaneren, bruker BlankBot et sesjonsbasert pakkeinstallasjonsprogram for å omgå funksjonen for begrensede innstillinger introdusert i Android 13, som forhindrer sidelastede applikasjoner fra direkte å be om usikre tillatelser. BlankBot ber offeret om å tillate installasjon av applikasjoner fra tredjepartskilder, henter APK-filen som er lagret i applikasjonsressurskatalogen uten kryptering, og fortsetter med installasjonsprosessen.
De truende egenskapene til BlankBot Banking Trojan
Skadevaren tilbyr et bredt spekter av funksjoner, inkludert skjermopptak, tastelogging og overleggsinjeksjoner utløst av spesifikke kommandoer fra en ekstern server. Dets primære mål er å fange bankkontolegitimasjon, betalingsinformasjon og til og med enhetens opplåsingsmønster.
I tillegg til disse egenskapene kan BlankBot fange opp SMS-meldinger, avinstallere vilkårlige applikasjoner og samle inn data som kontaktlister og installerte applikasjoner. Den utnytter også tilgjengelighetstjenestens API for å blokkere brukeren fra å få tilgang til enhetsinnstillinger eller starte anti-malware-programvare.
Selv om BlankBot er en ny Android-banktrojaner som fortsatt er under utvikling, som indikert av de forskjellige kodevariantene som sees i forskjellige applikasjoner, er den allerede i stand til å utføre skadelige handlinger når den infiserer en Android-enhet.
Google implementerer ytterligere tiltak for å beskytte Android-brukere
Google har detaljert tiltakene de implementerer for å adressere bruken av mobilsitesimulatorer, for eksempel Stingrays, for å injisere SMS-meldinger direkte i Android-telefoner. Denne svindelteknikken, kjent som SMS Blaster-svindel, omgår operatørnettverk og deres avanserte anti-spam- og anti-svindelfiltre ved å lage et falskt LTE- eller 5G-nettverk som tvinger brukerens tilkobling til å gå tilbake til en eldre 2G-protokoll.
For å bekjempe dette problemet har Google introdusert avbøtende tiltak som inkluderer å la brukere deaktivere 2G-tilkoblinger på modemnivå og slå av nullsiffer. Null-siffer er avgjørende for at en falsk basestasjon skal injisere SMS-nyttelast.
