Банковский троян BlankBot
Исследователи кибербезопасности обнаружили нового банковского трояна для Android под названием BlankBot, который нацелен на турецких пользователей с целью кражи финансовой информации. BlankBot обладает различными угрожающими возможностями, включая внедрение клиентов, кейлоггинг и запись экрана. Он взаимодействует с сервером управления через соединение WebSocket.
Сообщается, что BlankBot, впервые обнаруженный в июле 2024 года, все еще находится в активной разработке. Вредоносное ПО использует разрешения служб специальных возможностей Android для получения полного контроля над зараженными устройствами.
Оглавление
Распространение BlankBot через поддельные приложения
Некоторые из поврежденных APK-файлов, содержащих BlankBot, включают варианты с именем app-release.apk с такими идентификаторами пакета, как com.abcdefg.w568b и com.abcdef.w568b , а также файл с подписью app-release (14).apk, помеченный как com. WhatsApp.chma14 . Кроме того, существуют файлы с именем app.apk с такими идентификаторами, как com.whatsapp.chma14p , com.whatsapp.w568bp и com.whatsapp.w568b .
Подобно недавно появившемуся Android-трояну Mandrake, BlankBot использует установщик пакетов на основе сеанса, чтобы обойти функцию ограниченных настроек, представленную в Android 13, которая не позволяет загруженным неопубликованным приложениям напрямую запрашивать небезопасные разрешения. BlankBot просит жертву разрешить установку приложений из сторонних источников, извлекает APK-файл, хранящийся в каталоге ресурсов приложения, без шифрования и продолжает процесс установки.
Угрожающие возможности банковского трояна BlankBot
Вредоносное ПО предлагает широкий набор функций, включая запись экрана, ведение журнала клавиатуры и внедрение наложений, запускаемых определенными командами с удаленного сервера. Его основная цель — получить учетные данные банковского счета, платежную информацию и даже графический ключ разблокировки устройства.
В дополнение к этим возможностям BlankBot может перехватывать SMS-сообщения, удалять произвольные приложения и собирать такие данные, как списки контактов и установленные приложения. Он также использует API служб доступности, чтобы заблокировать пользователю доступ к настройкам устройства или запуск антивирусного программного обеспечения.
Хотя BlankBot — новый банковский троян для Android, который все еще находится в разработке, о чем свидетельствуют различные варианты кода, встречающиеся в различных приложениях, он уже способен выполнять вредоносные действия после заражения устройства Android.
Google реализует дополнительные меры для защиты пользователей Android
Google подробно описала меры, которые она реализует для решения проблемы использования симуляторов сотовых сетей, таких как Stingrays, для вставки SMS-сообщений непосредственно в телефоны Android. Этот метод мошенничества, известный как мошенничество с SMS Blaster, обходит сети операторов связи и их передовые фильтры защиты от спама и мошенничества, создавая поддельную сеть LTE или 5G, которая заставляет соединение пользователя вернуться к устаревшему протоколу 2G.
Чтобы решить эту проблему, Google ввел меры по смягчению последствий, которые включают в себя разрешение пользователям отключать соединения 2G на уровне модема и отключать нулевые шифры. Нулевые шифры имеют решающее значение для ложной базовой станции для внедрения полезных данных SMS.
