BlankBot Banking Trojan
Cybersäkerhetsforskare har avslöjat en ny Android-banktrojan vid namn BlankBot, som riktar sig till turkiska användare för att stjäla finansiell information. BlankBot har olika hotfulla funktioner, inklusive kundinjektioner, tangentloggning och skärminspelning. Den kommunicerar med en kontrollserver via en WebSocket-anslutning.
BlankBot identifierades för första gången i juli 2024 och är enligt uppgift fortfarande i aktiv utveckling. Skadlig programvara utnyttjar Androids behörigheter för tillgänglighetstjänster för att få fullständig kontroll över infekterade enheter.
Innehållsförteckning
BlankBot sprids via falska applikationer
Några av de skadade APK-filerna som innehåller BlankBot inkluderar varianter som heter app-release.apk med paketidentifierare som com.abcdefg.w568b och com.abcdef.w568b , samt app-release-signerad (14).apk märkt som com. whatsapp.chma14 . Dessutom finns det filer som heter app.apk med identifierare som com.whatsapp.chma14p , com.whatsapp.w568bp och com.whatsapp.w568b .
Ungefär som den nyligen återuppstått Mandrake Android Trojan, använder BlankBot ett sessionsbaserat paketinstallationsprogram för att kringgå funktionen för begränsade inställningar som introduceras i Android 13, som förhindrar sidladdade applikationer från att direkt begära osäkra behörigheter. BlankBot ber offret att tillåta installation av applikationer från tredjepartskällor, hämtar APK-filen lagrad i applikationens tillgångskatalog utan kryptering och fortsätter med installationsprocessen.
De hotande funktionerna hos BlankBot Banking Trojan
Skadlig programvara erbjuder ett brett utbud av funktioner, inklusive skärminspelning, tangentloggning och överlagringsinjektioner som utlöses av specifika kommandon från en fjärrserver. Dess primära syfte är att fånga bankkontouppgifter, betalningsinformation och till och med enhetens upplåsningsmönster.
Utöver dessa funktioner kan BlankBot fånga upp SMS-meddelanden, avinstallera godtyckliga applikationer och samla in data som kontaktlistor och installerade applikationer. Det utnyttjar också tillgänglighetstjänsterna API för att blockera användaren från att komma åt enhetsinställningar eller starta anti-malware-programvara.
Även om BlankBot är en ny Android-banktrojan som fortfarande är under utveckling, vilket framgår av de olika kodvarianterna i olika applikationer, är den redan kapabel att utföra skadliga åtgärder när den väl infekterar en Android-enhet.
Google implementerar ytterligare åtgärder för att skydda Android-användare
Google har detaljerat de åtgärder som implementeras för att ta itu med användningen av mobilsimulatorer, såsom Stingrays, för att injicera SMS-meddelanden direkt i Android-telefoner. Denna bedrägeriteknik, känd som SMS Blaster-bedrägeri, kringgår operatörsnätverk och deras avancerade anti-spam- och anti-bedrägerifilter genom att skapa ett falskt LTE- eller 5G-nätverk som tvingar användarens anslutning att återgå till ett äldre 2G-protokoll.
För att bekämpa detta problem har Google infört begränsningsåtgärder som inkluderar att tillåta användare att inaktivera 2G-anslutningar på modemnivå och stänga av nollchiffer. Nollchiffer är avgörande för att en falsk basstation ska kunna injicera SMS-nyttolaster.
