โทรจัน BlankBot ธนาคาร
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยโทรจันธนาคาร Android ตัวใหม่ชื่อ BlankBot ซึ่งกำหนดเป้าหมายผู้ใช้ชาวตุรกีเพื่อขโมยข้อมูลทางการเงิน BlankBot มีความสามารถในการคุกคามที่หลากหลาย รวมถึงการแทรกข้อมูลลูกค้า การคีย์ล็อก และการบันทึกหน้าจอ มันสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านการเชื่อมต่อ WebSocket
ระบุครั้งแรกในเดือนกรกฎาคม 2024 มีรายงานว่า BlankBot ยังอยู่ระหว่างการพัฒนา มัลแวร์ใช้ประโยชน์จากสิทธิ์ในการเข้าถึงบริการของ Android เพื่อควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างสมบูรณ์
สารบัญ
BlankBot แพร่กระจายผ่านแอปพลิเคชันปลอม
ไฟล์ APK ที่เสียหายบางไฟล์ที่มี BlankBot มีรูปแบบชื่อ app-release.apk พร้อมด้วยตัวระบุแพ็คเกจ เช่น com.abcdefg.w568b และ com.abcdef.w568b รวมถึง app-release-signed (14).apk ที่มีป้ายกำกับว่า com whatsapp.chma14 . นอกจากนี้ยังมีไฟล์ชื่อ app.apk พร้อมด้วยตัวระบุ เช่น com.whatsapp.chma14p , com.whatsapp.w568bp และ com.whatsapp.w568b
เช่นเดียวกับโทรจัน Mandrake Android ที่เพิ่งเปิดตัวใหม่ BlankBot ใช้ตัวติดตั้งแพ็คเกจตามเซสชันเพื่อหลีกเลี่ยงฟีเจอร์การตั้งค่าแบบจำกัดที่แนะนำใน Android 13 ซึ่งป้องกันแอปพลิเคชันไซด์โหลดจากการร้องขอสิทธิ์ที่ไม่ปลอดภัยโดยตรง BlankBot ขอให้เหยื่ออนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งบุคคลที่สาม ดึงไฟล์ APK ที่เก็บไว้ในไดเร็กทอรีทรัพย์สินของแอปพลิเคชันโดยไม่มีการเข้ารหัส และดำเนินการตามกระบวนการติดตั้ง
ความสามารถที่เป็นอันตรายของโทรจัน BlankBot Banking
มัลแวร์นำเสนอฟีเจอร์ที่หลากหลาย รวมถึงการบันทึกหน้าจอ การล็อกคีย์ และการวางซ้อนที่เรียกใช้โดยคำสั่งเฉพาะจากเซิร์ฟเวอร์ระยะไกล จุดมุ่งหมายหลักคือการเก็บข้อมูลรับรองบัญชีธนาคาร ข้อมูลการชำระเงิน และแม้แต่รูปแบบการปลดล็อคของอุปกรณ์
นอกเหนือจากความสามารถเหล่านี้แล้ว BlankBot ยังสามารถสกัดกั้นข้อความ SMS ถอนการติดตั้งแอปพลิเคชันที่กำหนดเอง และรวบรวมข้อมูล เช่น รายชื่อผู้ติดต่อและแอปพลิเคชันที่ติดตั้ง นอกจากนี้ยังใช้ประโยชน์จาก API บริการการเข้าถึงเพื่อบล็อกผู้ใช้ไม่ให้เข้าถึงการตั้งค่าอุปกรณ์หรือเปิดซอฟต์แวร์ป้องกันมัลแวร์
แม้ว่า BlankBot จะเป็นโทรจันธนาคาร Android ตัวใหม่ที่ยังอยู่ในการพัฒนา ตามที่ระบุโดยรหัสต่างๆ ที่พบในแอปพลิเคชันต่างๆ แต่ก็สามารถดำเนินการที่เป็นอันตรายได้แล้วเมื่อติดไวรัสในอุปกรณ์ Android
Google ใช้มาตรการเพิ่มเติมเพื่อปกป้องผู้ใช้ Android
Google ได้ให้รายละเอียดเกี่ยวกับมาตรการที่ใช้เพื่อจัดการกับการใช้เครื่องจำลองไซต์เซลล์ เช่น Stingrays เพื่อส่งข้อความ SMS ลงในโทรศัพท์ Android โดยตรง เทคนิคการฉ้อโกงนี้เรียกว่าการฉ้อโกง SMS Blaster โดยข้ามเครือข่ายผู้ให้บริการและตัวกรองป้องกันสแปมและการฉ้อโกงขั้นสูงโดยการสร้างเครือข่าย LTE หรือ 5G ปลอมที่บังคับให้การเชื่อมต่อของผู้ใช้เปลี่ยนกลับเป็นโปรโตคอล 2G แบบเดิม
เพื่อต่อสู้กับปัญหานี้ Google ได้แนะนำมาตรการบรรเทาผลกระทบซึ่งรวมถึงการอนุญาตให้ผู้ใช้สามารถปิดใช้งานการเชื่อมต่อ 2G ในระดับโมเด็ม และปิดการเข้ารหัสแบบ Null รหัส Null มีความสำคัญอย่างยิ่งต่อสถานีฐานเท็จในการอัดเพย์โหลด SMS
