Trojan ngân hàng BlankBot
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một Trojan ngân hàng Android mới có tên BlankBot, nhắm mục tiêu vào người dùng Thổ Nhĩ Kỳ để đánh cắp thông tin tài chính. BlankBot sở hữu nhiều khả năng đe dọa khác nhau, bao gồm tấn công khách hàng, ghi nhật ký thao tác bàn phím và ghi màn hình. Nó giao tiếp với máy chủ điều khiển thông qua kết nối WebSocket.
Được xác định lần đầu tiên vào tháng 7 năm 2024, BlankBot được cho là vẫn đang trong quá trình phát triển tích cực. Phần mềm độc hại khai thác quyền truy cập dịch vụ trợ năng của Android để giành quyền kiểm soát hoàn toàn đối với các thiết bị bị nhiễm.
Mục lục
BlankBot lây lan qua các ứng dụng giả mạo
Một số tệp APK bị hỏng chứa BlankBot bao gồm các biến thể có tên app-release.apk với số nhận dạng gói như com.abcdefg.w568b và com.abcdef.w568b , cũng như app-release-signed (14).apk được gắn nhãn là com. whatsapp.chma14 . Ngoài ra, còn có các tệp có tên app.apk với các mã nhận dạng như com.whatsapp.chma14p , com.whatsapp.w568bp và com.whatsapp.w568b .
Giống như Trojan Mandrake Android mới xuất hiện gần đây, BlankBot sử dụng trình cài đặt gói dựa trên phiên để phá vỡ tính năng cài đặt hạn chế được giới thiệu trong Android 13, tính năng này ngăn các ứng dụng đã tải trực tiếp yêu cầu các quyền không an toàn. BlankBot yêu cầu nạn nhân cho phép cài đặt ứng dụng từ nguồn của bên thứ ba, truy xuất tệp APK được lưu trữ trong thư mục nội dung ứng dụng mà không cần mã hóa và tiếp tục quá trình cài đặt.
Khả năng đe dọa của Trojan ngân hàng BlankBot
Phần mềm độc hại này cung cấp một loạt các tính năng, bao gồm ghi màn hình, ghi nhật ký thao tác bàn phím và chèn lớp phủ được kích hoạt bởi các lệnh cụ thể từ máy chủ từ xa. Mục đích chính của nó là nắm bắt thông tin xác thực tài khoản ngân hàng, thông tin thanh toán và thậm chí cả kiểu mở khóa của thiết bị.
Ngoài những khả năng này, BlankBot có thể chặn tin nhắn SMS, gỡ cài đặt các ứng dụng tùy ý và thu thập dữ liệu như danh sách liên hệ và ứng dụng đã cài đặt. Nó cũng khai thác API dịch vụ trợ năng để chặn người dùng truy cập cài đặt thiết bị hoặc khởi chạy phần mềm chống phần mềm độc hại.
Mặc dù BlankBot là một Trojan ngân hàng Android mới vẫn đang được phát triển, như được biểu thị bằng các biến thể mã khác nhau được thấy trong các ứng dụng khác nhau, nhưng nó đã có khả năng thực hiện các hành động có hại khi lây nhiễm vào thiết bị Android.
Google triển khai các biện pháp bổ sung để bảo vệ người dùng Android
Google đã trình bày chi tiết các biện pháp mà họ đang thực hiện để giải quyết việc sử dụng các trình mô phỏng trang web di động, chẳng hạn như Stingrays, để đưa tin nhắn SMS trực tiếp vào điện thoại Android. Kỹ thuật gian lận này, được gọi là gian lận SMS Blaster, vượt qua các mạng của nhà cung cấp dịch vụ cũng như các bộ lọc chống thư rác và chống gian lận tiên tiến của họ bằng cách tạo mạng LTE hoặc 5G giả buộc kết nối của người dùng trở lại giao thức 2G cũ.
Để giải quyết vấn đề này, Google đã đưa ra các biện pháp giảm thiểu bao gồm cho phép người dùng tắt kết nối 2G ở cấp modem và tắt mật mã rỗng. Mật mã rỗng rất quan trọng để Trạm cơ sở sai thực hiện tải trọng SMS.
