Android BlankBot Banking Trojan kan indsamle dine personlige data

Cybersikkerhedsforskere har afsløret en ny trussel i form af en Android-banktrojaner ved navn BlankBot. Denne ondsindede software er rettet mod tyrkiske brugere med det formål at stjæle finansielle oplysninger gennem en række sofistikerede metoder.

BlankBot-funktioner

BlankBot er bevæbnet med en række skadelige funktioner. Ifølge Intel 471's analyse offentliggjort i sidste uge omfatter disse:

• Kundeindsprøjtninger: Vildledende overlejringer, der narre brugere til at indtaste følsomme oplysninger.
• Keylogging: Indfanger alt, der er skrevet på enheden.
• Skærmoptagelse: Overvågning og registrering af brugeraktiviteter.
• Kontrolserverkommunikation: Brug af en WebSocket-forbindelse til at kommunikere med en fjernbetjeningsserver.

BlankBot blev opdaget den 24. juli 2024 og er stadig i aktiv udvikling. Malwaren udnytter Androids tilgængelighedstjenesters tilladelser til at få fuld kontrol over inficerede enheder. Nogle af de APK-filer, der er identificeret til at indeholde BlankBot, inkluderer:

• app-release.apk (com.abcdefg.w568b)
• app-release.apk (com.abcdef.w568b)
• app-release-signeret (14).apk (com.whatsapp.chma14)
• app.apk (com.whatsapp.chma14p)
• app.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

Sådan fungerer BlankBot

I lighed med Mandrake Android-trojaneren bruger BlankBot et sessionsbaseret pakkeinstallationsprogram til at omgå Android 13s sikkerhedsforanstaltninger, der forhindrer sideindlæste apps i at anmode om farlige tilladelser direkte. Malwaren beder ofrene om at tillade installationer fra tredjepartskilder, henter APK-filen, der er gemt i appens aktiverbibliotek, og fortsætter med installationen uden kryptering.

Når det er installeret, udfører BlankBot forskellige ondsindede handlinger, herunder:

• Skærmoptagelse og Keylogging: For at fange følsomme oplysninger.
• Injicere overlejringer: Baseret på specifikke kommandoer fra en fjernserver til at stjæle bankoplysninger og betalingsdata.
• Opsnappe SMS-beskeder: For at fange godkendelseskoder og anden kritisk information.
• Afinstallation af applikationer: Fjernelse af sikkerhedsapps og anden software.
• Indsamling af data: Indsamling af kontaktlister, installerede apps og andre personlige data.
• Forhindring af adgang: Brug af tilgængelighedstjenesters API til at blokere adgang til enhedsindstillinger og antivirus-apps.

Googles svar og beskyttelsesforanstaltninger

Google har udtalt, at ingen apps, der indeholder BlankBot, er blevet fundet i Google Play Butik. Android-brugere er automatisk beskyttet mod kendte versioner af denne malware af Google Play Protect, som er aktiveret som standard på enheder med Google Play Services. Denne beskyttelse advarer brugere og blokerer apps, der indeholder malwaren, selv fra kilder uden for Play.

Som reaktion på bredere trusler, herunder dem, der udgøres af SMS Blaster-svindelteknikker, der omgår beskyttelsen af operatørnetværk, har Google indført flere afbødende foranstaltninger. Disse inkluderer muligheden for at deaktivere 2G på modemniveau og deaktivere null-cifre, som er afgørende for driften af falske basestationer, der bruges i sådanne angreb. Derudover har Google øget mobilsikkerheden ved at advare brugerne om ukrypterede netværksforbindelser og brugen af mobilsitesimulatorer til snooping eller sms-svindel.

Opdagelsen af BlankBot fremhæver den igangværende udvikling af Android-malware og behovet for årvågen sikkerhedspraksis. Da denne trojan fortsætter med at udvikle sig, er det afgørende for brugerne at holde sig informeret og drage fordel af indbyggede sikkerhedsfunktioner som Google Play Protect. Ved at forblive forsigtige og opmærksomme kan brugere hjælpe med at beskytte deres enheder og personlige oplysninger mod nye trusler.