BlankBot Banking-trojan
Cybersecurity-onderzoekers hebben een nieuwe Android-banktrojan genaamd BlankBot blootgelegd, die zich richt op Turkse gebruikers om financiële informatie te stelen. BlankBot beschikt over verschillende bedreigende mogelijkheden, waaronder klantinjecties, keylogging en schermopname. Het communiceert met een besturingsserver via een WebSocket-verbinding.
BlankBot werd voor het eerst geïdentificeerd in juli 2024 en is naar verluidt nog steeds in actieve ontwikkeling. De malware maakt misbruik van de machtigingen voor toegankelijkheidsservices van Android om volledige controle te krijgen over geïnfecteerde apparaten.
Inhoudsopgave
BlankBot verspreid via valse applicaties
Sommige van de beschadigde APK-bestanden die BlankBot bevatten, bevatten variaties genaamd app-release.apk met pakket-ID's zoals com.abcdefg.w568b en com.abcdef.w568b , evenals app-release-signed (14).apk met het label com. whatsapp.chma14 . Daarnaast zijn er bestanden met de naam app.apk met identificatiegegevens zoals com.whatsapp.chma14p , com.whatsapp.w568bp en com.whatsapp.w568b .
Net als de onlangs opnieuw opgedoken Mandrake Android Trojan, maakt BlankBot gebruik van een op sessies gebaseerd pakketinstallatieprogramma om de functie voor beperkte instellingen te omzeilen die in Android 13 is geïntroduceerd en die voorkomt dat sideloaded applicaties direct om onveilige toestemmingen vragen. BlankBot vraagt het slachtoffer om de installatie van applicaties van externe bronnen toe te staan, haalt het APK-bestand op dat zonder codering is opgeslagen in de map met applicatie-activa en gaat verder met het installatieproces.
De bedreigende mogelijkheden van de BlankBot Banking Trojan
De malware biedt een breed scala aan functies, waaronder schermopname, keylogging en overlay-injecties die worden geactiveerd door specifieke opdrachten van een externe server. Het primaire doel is het vastleggen van bankrekeninggegevens, betalingsinformatie en zelfs het ontgrendelingspatroon van het apparaat.
Naast deze mogelijkheden kan BlankBot SMS-berichten onderscheppen, willekeurige applicaties verwijderen en gegevens verzamelen zoals contactlijsten en geïnstalleerde applicaties. Het maakt ook gebruik van de API voor toegankelijkheidsservices om te voorkomen dat de gebruiker toegang krijgt tot apparaatinstellingen of antimalwaresoftware start.
Hoewel BlankBot een nieuwe Trojan voor bankieren voor Android is die nog in ontwikkeling is, zoals blijkt uit de verschillende codevarianten die in verschillende applicaties te zien zijn, is deze al in staat schadelijke acties uit te voeren zodra hij een Android-apparaat infecteert.
Google implementeert aanvullende maatregelen om Android-gebruikers te beschermen
Google heeft de maatregelen gedetailleerd beschreven die het implementeert om het gebruik van mobiele-site-simulators, zoals Stingrays, aan te pakken voor het rechtstreeks injecteren van sms-berichten in Android-telefoons. Deze fraudetechniek, bekend als SMS Blaster-fraude, omzeilt netwerkaanbieders en hun geavanceerde antispam- en antifraudefilters door een nep LTE- of 5G-netwerk te creëren dat de verbinding van de gebruiker dwingt terug te keren naar een verouderd 2G-protocol.
Om dit probleem te bestrijden heeft Google beperkende maatregelen geïntroduceerd, waaronder het toestaan van gebruikers om 2G-verbindingen op modemniveau uit te schakelen en nulcijfers uit te schakelen. Nulcijfers zijn cruciaal voor een False Base Station om SMS-payloads te injecteren.
