BlankBot Bankacılık Truva Atı
Siber güvenlik araştırmacıları, Türk kullanıcıları finansal bilgileri çalmak için hedef alan BlankBot adlı yeni bir Android bankacılık Truva Atı'nı ortaya çıkardı. BlankBot, müşteri enjeksiyonları, keylogging ve ekran kaydı dahil olmak üzere çeşitli tehdit edici yeteneklere sahiptir. Bir WebSocket bağlantısı aracılığıyla bir kontrol sunucusuyla iletişim kurar.
İlk olarak Temmuz 2024'te tanımlanan BlankBot'un hâlâ aktif geliştirme aşamasında olduğu bildiriliyor. Kötü amaçlı yazılım, virüslü cihazlar üzerinde tam kontrol elde etmek için Android'in erişilebilirlik hizmetleri izinlerinden yararlanıyor.
İçindekiler
BlankBot Sahte Uygulamalar Yoluyla Yayılıyor
BlankBot içeren bozuk APK dosyalarından bazıları, com.abcdefg.w568b ve com.abcdef.w568b gibi paket tanımlayıcılarına sahip app-release.apk adlı varyasyonların yanı sıra com olarak etiketlenmiş app-release-signed (14).apk varyasyonlarını içerir. whatsapp.chma14 . Ayrıca com.whatsapp.chma14p , com.whatsapp.w568bp ve com.whatsapp.w568b gibi tanımlayıcılara sahip app.apk isimli dosyalar bulunmaktadır.
Yakın zamanda yeniden ortaya çıkan Mandrake Android Trojan'ına benzer şekilde BlankBot, Android 13'te sunulan ve yandan yüklenen uygulamaların doğrudan güvenli olmayan izinler istemesini engelleyen kısıtlı ayarlar özelliğini aşmak için oturum tabanlı bir paket yükleyici kullanıyor. BlankBot, kurbandan üçüncü taraf kaynaklardan uygulamaların kurulumuna izin vermesini istiyor, uygulama varlıkları dizininde saklanan APK dosyasını şifrelemeden alıyor ve kurulum işlemine devam ediyor.
BlankBot Bankacılık Truva Atının Tehdit Edici Yetenekleri
Kötü amaçlı yazılım, uzak bir sunucudan gelen belirli komutlarla tetiklenen ekran kaydı, tuş günlüğü tutma ve katman enjeksiyonları dahil olmak üzere çok çeşitli özellikler sunar. Birincil amacı banka hesabı kimlik bilgilerini, ödeme bilgilerini ve hatta cihazın kilit açma düzenini yakalamaktır.
BlankBot, bu yeteneklerine ek olarak SMS mesajlarına müdahale edebilir, isteğe bağlı uygulamaları kaldırabilir ve kişi listeleri ve yüklü uygulamalar gibi verileri toplayabilir. Ayrıca kullanıcının cihaz ayarlarına erişmesini veya kötü amaçlı yazılımdan koruma yazılımını başlatmasını engellemek için erişilebilirlik hizmetleri API'sinden de yararlanır.
BlankBot, hala geliştirilmekte olan yeni bir Android bankacılık Truva Atı olmasına rağmen, farklı uygulamalarda görülen çeşitli kod türlerinin de gösterdiği gibi, bir Android cihaza bulaştığında zaten zararlı eylemler gerçekleştirme kapasitesine sahiptir.
Google, Android Kullanıcılarını Korumak İçin Ek Önlemler Uyguluyor
Google, SMS mesajlarını doğrudan Android telefonlara enjekte etmek için Stingrays gibi cep telefonu sitesi simülatörlerinin kullanımına yönelik uyguladığı önlemleri ayrıntılı olarak açıkladı. SMS Blaster dolandırıcılığı olarak bilinen bu dolandırıcılık tekniği, kullanıcının bağlantısını eski bir 2G protokolüne dönmeye zorlayan sahte bir LTE veya 5G ağı oluşturarak operatör ağlarını ve bunların gelişmiş anti-spam ve dolandırıcılık önleme filtrelerini atlar.
Bu sorunla mücadele etmek için Google, kullanıcıların modem düzeyinde 2G bağlantılarını devre dışı bırakmasına ve boş şifreleri kapatmasına izin vermeyi içeren azaltıcı önlemler uygulamaya koydu. Boş şifreler, Yanlış Baz İstasyonunun SMS yüklerini enjekte etmesi için çok önemlidir.
