BlankBot 銀行木馬
網路安全研究人員曝光了一種名為 BlankBot 的新 Android 銀行木馬,該木馬以土耳其用戶為目標,竊取財務資訊。 BlankBot 擁有多種威脅能力,包括客戶注入、鍵盤記錄和螢幕錄影。它透過 WebSocket 連接與控制伺服器進行通訊。
據報道,BlankBot 於 2024 年 7 月首次被發現,目前仍在積極開發中。該惡意軟體利用 Android 的輔助服務權限來完全控制受感染的裝置。
目錄
BlankBot 透過虛假應用程式傳播
一些包含 BlankBot 的損壞的 APK 檔案包括名為 app-release.apk 的變體,其套件標識符如com.abcdefg.w568b和com.abcdef.w568b ,以及標記為com 的app-release-signed (14) .apk。此外,還有一些名為 app.apk 的文件,其識別碼如com.whatsapp.chma14p 、 com.whatsapp.w568bp和com.whatsapp.w568b 。
與最近重新出現的 Mandrake Android 木馬非常相似,BlankBot 採用基於會話的軟體包安裝程式來規避 Android 13 中引入的受限設定功能,該功能可防止旁加載應用程式直接請求不安全的權限。 BlankBot 要求受害者允許安裝來自第三方來源的應用程序,檢索儲存在應用程式資產目錄中的未加密的 APK 文件,然後繼續安裝程序。
BlankBot 銀行木馬的威脅能力
該惡意軟體提供了廣泛的功能,包括螢幕錄製、鍵盤記錄和由遠端伺服器的特定命令觸發的覆蓋注入。其主要目的是捕獲銀行帳戶憑證、支付訊息,甚至設備的解鎖圖案。
除了這些功能之外,BlankBot 還可以攔截簡訊、卸載任意應用程式以及收集聯絡人清單和已安裝應用程式等資料。它還利用輔助服務 API 來阻止使用者存取設備設定或啟動反惡意軟體。
儘管 BlankBot 是一種仍在開發中的新型 Android 銀行木馬,但正如不同應用程式中出現的各種程式碼變體所示,它一旦感染 Android 裝置就已經能夠執行有害操作。
谷歌實施額外措施保護 Android 用戶
谷歌詳細介紹了其正在實施的措施,以解決使用 Stingrays 等蜂窩基地台模擬器將 SMS 訊息直接注入 Android 手機的問題。這種欺詐技術被稱為 SMS Blaster 欺詐,它透過創建虛假的 LTE 或 5G 網絡,迫使用戶的連接恢復到舊版 2G 協議,從而繞過運營商網絡及其先進的反垃圾郵件和反欺詐過濾器。
為了解決這個問題,Google推出了緩解措施,包括允許用戶在調製解調器層級停用 2G 連線並關閉空密碼。空密碼對於虛假基地台注入 SMS 有效負載至關重要。
