Troian bancar BlankBot
Cercetătorii în domeniul securității cibernetice au dezvăluit un nou troian bancar pentru Android, numit BlankBot, care vizează utilizatorii turci să fure informații financiare. BlankBot are diverse capacități de amenințare, inclusiv injecții clienților, înregistrarea tastelor și înregistrarea ecranului. Comunică cu un server de control printr-o conexiune WebSocket.
Identificat pentru prima dată în iulie 2024, BlankBot este încă în dezvoltare activă. Programul malware exploatează permisiunile serviciilor de accesibilitate ale Android pentru a obține control complet asupra dispozitivelor infectate.
Cuprins
BlankBot răspândit prin aplicații false
Unele dintre fișierele APK corupte care conțin BlankBot includ variante denumite app-release.apk cu identificatori de pachet precum com.abcdefg.w568b și com.abcdef.w568b , precum și app-release-signed (14).apk etichetat ca com. whatsapp.chma14 . În plus, există fișiere denumite app.apk cu identificatori precum com.whatsapp.chma14p , com.whatsapp.w568bp și com.whatsapp.w568b .
La fel ca troianul Android Mandrake, recent reapărut, BlankBot folosește un program de instalare a pachetelor bazat pe sesiune pentru a ocoli funcția de setări restricționate introdusă în Android 13, care împiedică aplicațiile cu încărcare laterală să solicite direct permisiuni nesigure. BlankBot îi cere victimei să permită instalarea aplicațiilor din surse terțe, preia fișierul APK stocat în directorul de active ale aplicației fără criptare și continuă procesul de instalare.
Capabilitățile amenințătoare ale troianului bancar BlankBot
Malware-ul oferă o gamă largă de funcții, inclusiv înregistrarea ecranului, înregistrarea tastelor și injecțiile de suprapunere declanșate de comenzi specifice de la un server la distanță. Scopul său principal este de a capta acreditările contului bancar, informațiile de plată și chiar modelul de deblocare al dispozitivului.
În plus față de aceste capabilități, BlankBot poate intercepta mesajele SMS, dezinstala aplicații arbitrare și poate colecta date precum liste de contacte și aplicații instalate. De asemenea, exploatează API-ul serviciilor de accesibilitate pentru a bloca utilizatorul să acceseze setările dispozitivului sau să lanseze software anti-malware.
Deși BlankBot este un nou troian bancar pentru Android încă în dezvoltare, așa cum indică diferitele variante de cod văzute în diferite aplicații, este deja capabil să execute acțiuni dăunătoare odată ce infectează un dispozitiv Android.
Google implementează măsuri suplimentare pentru a proteja utilizatorii Android
Google a detaliat măsurile pe care le implementează pentru a aborda utilizarea simulatoarelor de site-uri mobile, cum ar fi Stingrays, pentru injectarea mesajelor SMS direct în telefoanele Android. Această tehnică de fraudă, cunoscută sub numele de fraudă SMS Blaster, ocolește rețelele operatorilor și filtrele lor avansate anti-spam și antifraudă prin crearea unei rețele LTE sau 5G false care forțează conexiunea utilizatorului să revină la un protocol 2G vechi.
Pentru a combate această problemă, Google a introdus măsuri de atenuare care includ permiterea utilizatorilor să dezactiveze conexiunile 2G la nivel de modem și să dezactiveze cifrurile nule. Cifrurile nule sunt cruciale pentru ca o stație de bază falsă să injecteze încărcături utile SMS.
