Банківський троян BlankBot
Дослідники з кібербезпеки викрили новий банківський троян Android під назвою BlankBot, який націлений на турецьких користувачів для крадіжки фінансової інформації. BlankBot володіє різними загрозливими можливостями, включаючи ін’єкції клієнтів, клавіатурні журнали та запис екрану. Він спілкується з сервером керування через з’єднання WebSocket.
Як повідомляється, BlankBot, вперше ідентифікований у липні 2024 року, все ще знаходиться в активній розробці. Зловмисне програмне забезпечення використовує дозволи служб доступності Android, щоб отримати повний контроль над зараженими пристроями.
Зміст
BlankBot Поширюється через підроблені програми
Деякі з пошкоджених файлів APK, що містять BlankBot, включають варіації під назвою app-release.apk з ідентифікаторами пакетів, такими як com.abcdefg.w568b і com.abcdef.w568b , а також app-release-signed (14).apk, позначений як com. whatsapp.chma14 . Крім того, є файли з назвою app.apk з такими ідентифікаторами, як com.whatsapp.chma14p , com.whatsapp.w568bp і com.whatsapp.w568b .
Подібно до нещодавно відновленого Android-трояна Mandrake, BlankBot використовує інсталятор пакетів на основі сеансу, щоб обійти функцію обмежених налаштувань, представлену в Android 13, яка не дозволяє стороннім програмам напряму запитувати небезпечні дозволи. BlankBot просить жертву дозволити встановлення додатків зі сторонніх джерел, отримує файл APK, що зберігається в каталозі активів додатка без шифрування, і продовжує процес встановлення.
Загрозливі можливості банківського трояна BlankBot
Зловмисне програмне забезпечення пропонує широкий набір функцій, включаючи запис екрана, клавіатурні журнали та ін’єкції оверлеїв, що запускаються певними командами з віддаленого сервера. Його основна мета — отримати облікові дані банківського рахунку, платіжну інформацію та навіть шаблон розблокування пристрою.
На додаток до цих можливостей BlankBot може перехоплювати SMS-повідомлення, видаляти довільні програми та збирати такі дані, як списки контактів і встановлені програми. Він також використовує API служб спеціальних можливостей, щоб заблокувати користувачеві доступ до налаштувань пристрою або запуск програмного забезпечення для захисту від шкідливих програм.
Хоча BlankBot — це новий банківський троян для Android, який все ще розробляється, як вказують різноманітні варіанти коду в різних програмах, він уже здатний виконувати шкідливі дії після зараження пристрою Android.
Google впроваджує додаткові заходи для захисту користувачів Android
Google детально описав заходи, які він вживає для вирішення проблеми використання симуляторів стільникового зв’язку, таких як Stingrays, для введення SMS-повідомлень безпосередньо в телефони Android. Ця технологія шахрайства, відома як шахрайство SMS Blaster, обходить мережі операторів та їхні вдосконалені фільтри захисту від спаму та шахрайства, створюючи фальшиву мережу LTE або 5G, яка змушує з’єднання користувача повернутися до застарілого протоколу 2G.
Для боротьби з цією проблемою Google запровадив заходи пом’якшення, які включають можливість користувачам відключати з’єднання 2G на рівні модему та вимикати нульові шифри. Нульові шифри мають вирішальне значення для фальшивої базової станції для введення корисного навантаження SMS.
