BlankBot Banking Trojan
Inilantad ng mga mananaliksik sa cybersecurity ang isang bagong Android banking Trojan na pinangalanang BlankBot, na nagta-target ng mga Turkish user na magnakaw ng impormasyong pinansyal. Ang BlankBot ay nagtataglay ng iba't ibang mga kakayahan sa pagbabanta, kabilang ang mga iniksyon ng customer, keylogging at pag-record ng screen. Nakikipag-ugnayan ito sa isang control server sa pamamagitan ng isang koneksyon sa WebSocket.
Unang natukoy noong Hulyo 2024, ang BlankBot ay iniulat na nasa aktibong pag-unlad pa rin. Sinasamantala ng malware ang mga pahintulot ng mga serbisyo sa pagiging naa-access ng Android upang makakuha ng kumpletong kontrol sa mga nahawaang device.
Talaan ng mga Nilalaman
Kumalat ang BlankBot sa pamamagitan ng Mga Pekeng Aplikasyon
Ang ilan sa mga sirang APK file na naglalaman ng BlankBot ay kinabibilangan ng mga variation na pinangalanang app-release.apk na may mga package identifier gaya ng com.abcdefg.w568b at com.abcdef.w568b , pati na rin ang app-release-signed (14).apk na may label na com. whatsapp.chma14 . Bukod pa rito, may mga file na pinangalanang app.apk na may mga identifier tulad ng com.whatsapp.chma14p , com.whatsapp.w568bp at com.whatsapp.w568b .
Katulad ng kamakailang muling lumitaw na Mandrake Android Trojan, gumagamit ang BlankBot ng isang session-based na package installer upang iwasan ang feature na pinaghihigpitang mga setting na ipinakilala sa Android 13, na pumipigil sa mga naka-sideload na application mula sa direktang paghiling ng mga hindi ligtas na pahintulot. Hinihiling ng BlankBot sa biktima na pahintulutan ang pag-install ng mga application mula sa mga third-party na pinagmumulan, kunin ang APK file na nakaimbak sa direktoryo ng mga asset ng application nang walang pag-encrypt, at magpatuloy sa proseso ng pag-install.
Ang Mga Kakayahang Nagbabanta ng BlankBot Banking Trojan
Nag-aalok ang malware ng malawak na hanay ng mga feature, kabilang ang screen recording, keylogging, at overlay injection na na-trigger ng mga partikular na command mula sa isang malayuang server. Ang pangunahing layunin nito ay makuha ang mga kredensyal ng bank account, impormasyon sa pagbabayad, at maging ang pattern ng pag-unlock ng device.
Bilang karagdagan sa mga kakayahan na ito, maaaring maharang ng BlankBot ang mga mensaheng SMS, mag-uninstall ng mga arbitrary na application at mangolekta ng data tulad ng mga listahan ng contact at mga naka-install na application. Pinagsasamantalahan din nito ang API ng mga serbisyo ng accessibility upang harangan ang user sa pag-access sa mga setting ng device o paglunsad ng anti-malware software.
Bagama't ang BlankBot ay isang bagong Android banking Trojan na ginagawa pa rin, gaya ng ipinahiwatig ng iba't ibang mga variant ng code na nakikita sa iba't ibang mga application, ito ay may kakayahang magsagawa ng mga nakakapinsalang aksyon kapag nahawahan nito ang isang Android device.
Nagpapatupad ang Google ng Mga Karagdagang Panukala upang Protektahan ang Mga User ng Android
Idinetalye ng Google ang mga hakbang na ipinapatupad nito upang tugunan ang paggamit ng mga cell-site simulator, gaya ng Stingrays, para sa direktang pag-inject ng mga mensaheng SMS sa mga Android phone. Ang pamamaraan ng panloloko na ito, na kilala bilang SMS Blaster fraud, ay lumalampas sa mga carrier network at sa kanilang mga advanced na anti-spam at anti-fraud na mga filter sa pamamagitan ng paggawa ng pekeng LTE o 5G network na pumipilit sa koneksyon ng user na bumalik sa isang legacy na 2G protocol.
Upang labanan ang isyung ito, ipinakilala ng Google ang mga hakbang sa pagpapagaan na kinabibilangan ng pagpayag sa mga user na huwag paganahin ang mga koneksyon sa 2G sa antas ng modem at i-off ang mga null cipher. Ang mga null cipher ay mahalaga para sa False Base Station upang makapag-inject ng mga SMS payload.
