BlankBot 银行木马

网络安全研究人员曝光了一款名为 BlankBot 的新型 Android 银行木马，该木马针对土耳其用户窃取财务信息。BlankBot 拥有多种威胁功能，包括客户注入、键盘记录和屏幕录制。它通过 WebSocket 连接与控制服务器进行通信。

BlankBot 于 2024 年 7 月首次被发现，据报道仍在积极开发中。该恶意软件利用 Android 的辅助功能服务权限来完全控制受感染的设备。

BlankBot 通过虚假应用程序传播

一些包含 BlankBot 的损坏 APK 文件包括名为 app-release.apk 的变体，其包标识符为com.abcdefg.w568b和com.abcdef.w568b ，以及标记为com.whatsapp.chma14的 app-release-signed (14).apk 。此外，还有名为 app.apk 的文件，其标识符为com.whatsapp.chma14p 、 com.whatsapp.w568bp和com.whatsapp.w568b 。

与最近重新出现的 Mandrake Android 木马病毒类似，BlankBot 使用基于会话的软件包安装程序来绕过 Android 13 中引入的受限设置功能，该功能可防止侧载应用程序直接请求不安全的权限。BlankBot 要求受害者允许从第三方来源安装应用程序，检索存储在应用程序资产目录中且未加密的 APK 文件，然后继续安装过程。

BlankBot 银行木马的威胁能力

该恶意软件提供多种功能，包括屏幕录制、键盘记录和由远程服务器的特定命令触发的覆盖注入。其主要目的是获取银行账户凭证、支付信息，甚至设备的解锁模式。

除了这些功能外，BlankBot 还可以拦截短信、卸载任意应用程序并收集联系人列表和已安装应用程序等数据。它还利用无障碍服务 API 阻止用户访问设备设置或启动反恶意软件。

尽管 BlankBot 是一种仍在开发中的新型 Android 银行木马，但从不同应用程序中出现的各种代码变体可以看出，它一旦感染 Android 设备就已经能够执行有害操作。

谷歌采取额外措施保护 Android 用户

谷歌详细介绍了其为解决使用 Stingrays 等基站模拟器直接向 Android 手机发送短信而采取的措施。这种欺诈技术被称为 SMS Blaster 欺诈，它通过创建虚假的 LTE 或 5G 网络来绕过运营商网络及其先进的反垃圾邮件和反欺诈过滤器，迫使用户的连接恢复到传统的 2G 协议。

为了解决这个问题，谷歌推出了缓解措施，包括允许用户在调制解调器级别禁用 2G 连接并关闭空密码。空密码对于虚假基站注入短信有效载荷至关重要。