BlankBot Banking Trojan
Studiuesit e sigurisë kibernetike kanë ekspozuar një Trojan të ri bankar Android të quajtur BlankBot, i cili synon përdoruesit turq për të vjedhur informacionin financiar. BlankBot posedon aftësi të ndryshme kërcënuese, duke përfshirë injeksione të klientëve, regjistrimin e tasteve dhe regjistrimin e ekranit. Ai komunikon me një server kontrolli nëpërmjet një lidhjeje WebSocket.
I identifikuar për herë të parë në korrik 2024, BlankBot thuhet se është ende në zhvillim aktiv. Malware shfrytëzon lejet e shërbimeve të aksesueshmërisë së Android për të fituar kontroll të plotë mbi pajisjet e infektuara.
Tabela e Përmbajtjes
BlankBot Përhapet përmes Aplikacioneve Fake
Disa nga skedarët e korruptuar APK që përmbajnë BlankBot përfshijnë variacione të quajtura app-release.apk me identifikues paketash si com.abcdefg.w568b dhe com.abcdef.w568b , si dhe të nënshkruar me lëshimin e aplikacionit (14).apk të etiketuar si com. whatsapp.chma14 . Për më tepër, ka skedarë të quajtur app.apk me identifikues si com.whatsapp.chma14p , com.whatsapp.w568bp dhe com.whatsapp.w568b .
Ashtu si Mandrake Android Trojan i rishfaqur së fundmi, BlankBot përdor një instalues të paketave të bazuara në sesion për të anashkaluar veçorinë e cilësimeve të kufizuara të prezantuara në Android 13, i cili parandalon aplikacionet e ngarkuara anash që të kërkojnë drejtpërdrejt leje të pasigurta. BlankBot i kërkon viktimës të lejojë instalimin e aplikacioneve nga burime të palëve të treta, merr skedarin APK të ruajtur në drejtorinë e aseteve të aplikacionit pa enkriptim dhe vazhdon me procesin e instalimit.
Aftësitë kërcënuese të Trojanit Bankar BlankBot
Malware ofron një gamë të gjerë funksionesh, duke përfshirë regjistrimin e ekranit, regjistrimin e tastierës dhe injeksione mbivendosjeje të shkaktuara nga komanda specifike nga një server në distancë. Qëllimi i tij kryesor është të kapë kredencialet e llogarisë bankare, informacionin e pagesës dhe madje edhe modelin e shkyçjes së pajisjes.
Përveç këtyre aftësive, BlankBot mund të përgjojë mesazhet SMS, të çinstalojë aplikacione arbitrare dhe të mbledhë të dhëna si listat e kontakteve dhe aplikacionet e instaluara. Ai gjithashtu shfrytëzon API-në e shërbimeve të aksesueshmërisë për të bllokuar përdoruesin të aksesojë cilësimet e pajisjes ose të lëshojë softuer anti-malware.
Megjithëse BlankBot është një Trojan i ri bankar Android ende në zhvillim, siç tregohet nga variantet e ndryshme të kodit që shihen në aplikacione të ndryshme, ai tashmë është i aftë të ekzekutojë veprime të dëmshme sapo të infektojë një pajisje Android.
Google zbaton masa shtesë për të mbrojtur përdoruesit e Android
Google ka detajuar masat që po zbaton për të adresuar përdorimin e simuluesve të faqeve celulare, si Stingrays, për injektimin e mesazheve SMS direkt në telefonat Android. Kjo teknikë mashtrimi, e njohur si mashtrimi SMS Blaster, anashkalon rrjetet e operatorëve dhe filtrat e tyre të avancuar anti-spam dhe kundër mashtrimit duke krijuar një rrjet të rremë LTE ose 5G që detyron lidhjen e përdoruesit të kthehet në një protokoll të trashëguar 2G.
Për të luftuar këtë çështje, Google ka prezantuar masa zbutëse që përfshijnë lejimin e përdoruesve të çaktivizojnë lidhjet 2G në nivelin e modemit dhe të çaktivizojnë shifrat null. Shifrat null janë thelbësore për një stacion bazë false për të injektuar ngarkesa SMS.
