BlankBot Banking Trojan
Os pesquisadores de segurança cibernética expuseram um novo Trojan bancário para Android chamado BlankBot, que tem como alvo usuários turcos para roubar informações financeiras. BlankBot possui vários recursos ameaçadores, incluindo injeções de clientes, keylogging e gravação de tela. Ele se comunica com um servidor de controle por meio de uma conexão WebSocket.
Identificado pela primeira vez em julho de 2024, o BlankBot ainda está em desenvolvimento ativo. O malware explora as permissões dos serviços de acessibilidade do Android para obter controle total sobre os dispositivos infectados.
Índice
O BlankBot Se Espalha por Meio de Falsos Aplicativos
Alguns dos arquivos APK corrompidos contendo BlankBot incluem variações chamadas app-release.apk com identificadores de pacote como com.abcdefg.w568b e com.abcdef.w568b , bem como app-release-signed (14).apk rotulado como com. whatsapp.chma14 . Além disso, existem arquivos chamados app.apk com identificadores como com.whatsapp.chma14p , com.whatsapp.w568bp e com.whatsapp.w568b .
Muito parecido com o Mandrake Android Trojan recentemente ressurgido, o BlankBot emprega um instalador de pacote baseado em sessão para contornar o recurso de configurações restritas introduzido no Android 13, que evita que aplicativos carregados de sideload solicitem diretamente permissões inseguras. BlankBot pede à vítima que permita a instalação de aplicativos de fontes de terceiros, recupera o arquivo APK armazenado no diretório de ativos do aplicativo sem criptografia e prossegue com o processo de instalação.
As Capacidades Ameaçadoras do BlankBot Banking Trojan
O malware oferece uma ampla gama de recursos, incluindo gravação de tela, keylogging e injeções de sobreposição acionadas por comandos específicos de um servidor remoto. Seu objetivo principal é capturar credenciais de contas bancárias, informações de pagamento e até mesmo o padrão de desbloqueio do dispositivo.
Além desses recursos, o BlankBot pode interceptar mensagens SMS, desinstalar aplicativos arbitrários e coletar dados como listas de contatos e aplicativos instalados. Ele também explora a API de serviços de acessibilidade para impedir que o usuário acesse as configurações do dispositivo ou inicie software antimalware.
Embora o BlankBot seja um novo Trojan bancário para Android ainda em desenvolvimento, conforme indicado pelas diversas variantes de código vistas em diferentes aplicativos, ele já é capaz de executar ações prejudiciais ao infectar um dispositivo Android.
O Google Implementa Medidas Adicionais para Proteger os Usuários do Android
O Google detalhou as medidas que está implementando para lidar com o uso de simuladores de sites de celular, como o Stingrays, para injetar mensagens SMS diretamente em telefones Android. Essa técnica de fraude, conhecida como fraude SMS Blaster, contorna as redes das operadoras e seus filtros avançados antispam e antifraude, criando uma rede LTE ou 5G falsa que força a conexão do usuário a reverter para um protocolo 2G legado.
Para combater esse problema, o Google introduziu medidas de mitigação que incluem permitir que os usuários desativem conexões 2G no nível do modem e desativem cifras nulas. Cifras nulas são cruciais para uma estação base falsa injetar cargas úteis de SMS.
