BlankBot Banking Trojan
Výskumníci v oblasti kybernetickej bezpečnosti odhalili nový trójsky kôň Android banking s názvom BlankBot, ktorý sa zameriava na tureckých používateľov s cieľom ukradnúť finančné informácie. BlankBot má rôzne ohrozujúce schopnosti, vrátane zákazníckych injekcií, keyloggingu a nahrávania obrazovky. Komunikuje s riadiacim serverom prostredníctvom pripojenia WebSocket.
BlankBot, ktorý bol prvýkrát identifikovaný v júli 2024, je údajne stále v aktívnom vývoji. Malvér využíva povolenia služieb dostupnosti systému Android na získanie úplnej kontroly nad infikovanými zariadeniami.
Obsah
BlankBot sa šíri prostredníctvom falošných aplikácií
Niektoré z poškodených súborov APK obsahujúcich BlankBot zahŕňajú variácie s názvom app-release.apk s identifikátormi balíkov, ako sú com.abcdefg.w568b a com.abcdef.w568b , ako aj app-release-signed (14).apk s označením com. whatsapp.chma14 . Okrem toho existujú súbory s názvom app.apk s identifikátormi ako com.whatsapp.chma14p , com.whatsapp.w568bp a com.whatsapp.w568b .
Podobne ako nedávno obnovený trójsky kôň Mandrake Android, BlankBot využíva inštalačný program balíkov založený na reláciách, aby obišiel funkciu obmedzených nastavení zavedenú v systéme Android 13, ktorá bráni aplikáciám s bočným zaťažením priamo žiadať nebezpečné povolenia. BlankBot požiada obeť, aby povolila inštaláciu aplikácií zo zdrojov tretích strán, načíta súbor APK uložený v adresári aktív aplikácie bez šifrovania a pokračuje v procese inštalácie.
Ohrozujúce schopnosti bankového trójskeho koňa BlankBot
Malvér ponúka širokú škálu funkcií vrátane nahrávania obrazovky, keyloggingu a prekryvných injekcií spúšťaných špecifickými príkazmi zo vzdialeného servera. Jeho primárnym cieľom je zachytiť prihlasovacie údaje k bankovému účtu, informácie o platbe a dokonca aj vzor odomknutia zariadenia.
Okrem týchto možností môže BlankBot zachytávať SMS správy, odinštalovať ľubovoľné aplikácie a zbierať údaje, ako sú zoznamy kontaktov a nainštalované aplikácie. Využíva tiež rozhranie API služieb dostupnosti na zablokovanie prístupu používateľa k nastaveniam zariadenia alebo spusteniu antimalvérového softvéru.
Hoci BlankBot je nový trójsky kôň Android banking, ktorý sa stále vyvíja, ako naznačujú rôzne varianty kódu v rôznych aplikáciách, je už schopný vykonávať škodlivé akcie, keď infikuje zariadenie so systémom Android.
Google zavádza ďalšie opatrenia na ochranu používateľov systému Android
Spoločnosť Google podrobne popísala opatrenia, ktoré implementuje na riešenie používania simulátorov mobilných stránok, ako sú Stingrays, na vkladanie SMS správ priamo do telefónov s Androidom. Táto technika podvodu, známa ako SMS Blaster, obchádza siete operátorov a ich pokročilé filtre proti spamu a podvodom vytvorením falošnej siete LTE alebo 5G, ktorá prinúti pripojenie používateľa k návratu k staršiemu protokolu 2G.
Na boj proti tomuto problému spoločnosť Google zaviedla opatrenia na zmiernenie, ktoré používateľom umožňujú zakázať pripojenia 2G na úrovni modemu a vypnúť nulové šifry. Nulové šifry sú kľúčové pre falošnú základňovú stanicu na vloženie dát SMS.
