Trojan bankowy BlankBot
Badacze zajmujący się cyberbezpieczeństwem ujawnili nowego trojana bankowego dla systemu Android o nazwie BlankBot, którego celem są tureccy użytkownicy w celu kradzieży informacji finansowych. BlankBot posiada różne funkcje grożące, w tym wstrzykiwanie danych klientów, rejestrowanie naciśnięć klawiszy i nagrywanie ekranu. Komunikuje się z serwerem sterującym poprzez połączenie WebSocket.
Według doniesień BlankBot, zidentyfikowany po raz pierwszy w lipcu 2024 r., jest nadal w fazie aktywnego rozwoju. Szkodnik wykorzystuje uprawnienia usług dostępności systemu Android, aby uzyskać pełną kontrolę nad zainfekowanymi urządzeniami.
Spis treści
BlankBot rozprzestrzenia się za pośrednictwem fałszywych aplikacji
Niektóre z uszkodzonych plików APK zawierających BlankBot obejmują odmiany o nazwie app-release.apk z identyfikatorami pakietów, takimi jak com.abcdefg.w568b i com.abcdef.w568b , a także app-release-signed (14).apk oznaczony jako com. whatsapp.chma14 . Dodatkowo istnieją pliki o nazwie app.apk z identyfikatorami takimi jak com.whatsapp.chma14p , com.whatsapp.w568bp i com.whatsapp.w568b .
Podobnie jak niedawno pojawił się trojan Mandrake dla systemu Android, BlankBot wykorzystuje instalator pakietów oparty na sesji, aby ominąć funkcję ograniczonych ustawień wprowadzoną w systemie Android 13, która uniemożliwia aplikacjom ładowanym z boku bezpośrednie żądanie niebezpiecznych uprawnień. BlankBot prosi ofiarę o zezwolenie na instalację aplikacji z zewnętrznych źródeł, pobiera plik APK przechowywany w katalogu zasobów aplikacji bez szyfrowania i kontynuuje proces instalacji.
Zagrażające możliwości trojana bankowego BlankBot
Szkodnik oferuje szeroki wachlarz funkcji, w tym nagrywanie ekranu, rejestrowanie naciśnięć klawiszy i wstrzykiwanie nakładek wyzwalanych przez określone polecenia ze zdalnego serwera. Jego głównym celem jest przechwytywanie danych uwierzytelniających konta bankowego, informacji o płatnościach, a nawet wzoru odblokowania urządzenia.
Oprócz tych możliwości BlankBot może przechwytywać wiadomości SMS, odinstalowywać dowolne aplikacje i zbierać dane, takie jak listy kontaktów i zainstalowane aplikacje. Wykorzystuje także interfejs API usług dostępności, aby blokować użytkownikowi dostęp do ustawień urządzenia lub uruchamianie oprogramowania chroniącego przed złośliwym oprogramowaniem.
Chociaż BlankBot to nowy trojan bankowy dla systemu Android, który jest wciąż w fazie rozwoju, na co wskazują różne warianty kodu występujące w różnych aplikacjach, już po zainfekowaniu urządzenia z systemem Android jest on w stanie wykonywać szkodliwe działania.
Google wdraża dodatkowe środki w celu ochrony użytkowników Androida
Firma Google szczegółowo przedstawiła środki, jakie wdraża, aby rozwiązać problem wykorzystania symulatorów działających w sieci komórkowej, takich jak Stingray, do wstrzykiwania wiadomości SMS bezpośrednio do telefonów z systemem Android. Ta technika oszustwa, znana jako oszustwo SMS Blaster, omija sieci operatorów i ich zaawansowane filtry antyspamowe i zapobiegające oszustwom, tworząc fałszywą sieć LTE lub 5G, która zmusza połączenie użytkownika do przywrócenia starszego protokołu 2G.
Aby zaradzić temu problemowi, Google wprowadziło środki zaradcze, które obejmują umożliwienie użytkownikom wyłączania połączeń 2G na poziomie modemu i wyłączania szyfrów zerowych. Szyfry zerowe mają kluczowe znaczenie dla fałszywej stacji bazowej do wstrzykiwania ładunków SMS.
