Το Android BlankBot Banking Trojan ενδέχεται να συλλέγει τα προσωπικά σας δεδομένα

Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα απειλή με τη μορφή ενός τραπεζικού trojan Android που ονομάζεται BlankBot. Αυτό το κακόβουλο λογισμικό στοχεύει Τούρκους χρήστες, με στόχο την κλοπή οικονομικών πληροφοριών μέσω ποικίλων εξελιγμένων μεθόδων.

Δυνατότητες BlankBot

Το BlankBot είναι εξοπλισμένο με μια σειρά επιβλαβών λειτουργιών. Σύμφωνα με την ανάλυση της Intel 471 που δημοσιεύθηκε την περασμένη εβδομάδα, αυτές περιλαμβάνουν:

• Customer Injections: Παραπλανητικές επικαλύψεις που εξαπατούν τους χρήστες να εισάγουν ευαίσθητες πληροφορίες.
• Καταγραφή πληκτρολογίου: Καταγραφή όλων όσων πληκτρολογήθηκαν στη συσκευή.
• Εγγραφή οθόνης: Παρακολούθηση και καταγραφή δραστηριοτήτων χρήστη.
• Επικοινωνία με διακομιστή ελέγχου: Χρήση σύνδεσης WebSocket για επικοινωνία με διακομιστή απομακρυσμένου ελέγχου.

Ανακαλύφθηκε στις 24 Ιουλίου 2024, το BlankBot βρίσκεται ακόμα σε ενεργό ανάπτυξη. Το κακόβουλο λογισμικό αξιοποιεί τις άδειες των υπηρεσιών προσβασιμότητας του Android για να αποκτήσει τον πλήρη έλεγχο των μολυσμένων συσκευών. Μερικά από τα αρχεία APK που προσδιορίστηκε ότι περιέχουν BlankBot περιλαμβάνουν:

• app-release.apk (com.abcdefg.w568b)
• app-release.apk (com.abcdef.w568b)
• app-release-signed (14).apk (com.whatsapp.chma14)
• app.apk (com.whatsapp.chma14p)
• app.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

Πώς λειτουργεί το BlankBot

Παρόμοια με το Mandrake Android trojan, το BlankBot χρησιμοποιεί ένα πρόγραμμα εγκατάστασης πακέτων που βασίζεται σε περιόδους σύνδεσης για να παρακάμψει τα μέτρα ασφαλείας του Android 13 που εμποδίζουν τις παραφορτωμένες εφαρμογές να ζητούν απευθείας επικίνδυνες άδειες. Το κακόβουλο λογισμικό προτρέπει τα θύματα να επιτρέψουν εγκαταστάσεις από πηγές τρίτων, ανακτά το αρχείο APK που είναι αποθηκευμένο στον κατάλογο στοιχείων της εφαρμογής και συνεχίζει με την εγκατάσταση χωρίς κρυπτογράφηση.

Μόλις εγκατασταθεί, το BlankBot εκτελεί διάφορες κακόβουλες ενέργειες, όπως:

• Εγγραφή οθόνης και καταγραφή πλήκτρων: Για λήψη ευαίσθητων πληροφοριών.
• Εισαγωγή επικαλύψεων: Βασίζεται σε συγκεκριμένες εντολές από έναν απομακρυσμένο διακομιστή για την κλοπή τραπεζικών διαπιστευτηρίων και δεδομένων πληρωμής.
• Υποκλοπή μηνυμάτων SMS: Για τη λήψη κωδικών ελέγχου ταυτότητας και άλλων κρίσιμων πληροφοριών.
• Απεγκατάσταση εφαρμογών: Κατάργηση εφαρμογών ασφαλείας και άλλου λογισμικού.
• Συλλογή δεδομένων: Συγκομιδή λιστών επαφών, εγκατεστημένων εφαρμογών και άλλων προσωπικών δεδομένων.
• Αποτροπή πρόσβασης: Χρήση του API υπηρεσιών προσβασιμότητας για αποκλεισμό της πρόσβασης στις ρυθμίσεις της συσκευής και στις εφαρμογές προστασίας από ιούς.

Μέτρα απόκρισης και προστασίας της Google

Η Google έχει δηλώσει ότι δεν έχουν βρεθεί εφαρμογές που να περιέχουν BlankBot στο Google Play Store. Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις αυτού του κακόβουλου λογισμικού από το Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή σε συσκευές με Υπηρεσίες Google Play. Αυτή η προστασία προειδοποιεί τους χρήστες και αποκλείει εφαρμογές που περιέχουν το κακόβουλο λογισμικό, ακόμη και από πηγές εκτός του Play.

Ως απάντηση σε ευρύτερες απειλές, συμπεριλαμβανομένων εκείνων που δημιουργούνται από τις τεχνικές απάτης SMS Blaster που παρακάμπτουν τις προστασίες δικτύου παρόχων, η Google έχει εισαγάγει διάφορα μέτρα μετριασμού. Αυτά περιλαμβάνουν την επιλογή απενεργοποίησης του 2G σε επίπεδο μόντεμ και απενεργοποίησης μηδενικών κρυπτογράφησης, που είναι απαραίτητα για τη λειτουργία ψευδών σταθμών βάσης που χρησιμοποιούνται σε τέτοιες επιθέσεις. Επιπλέον, η Google ενίσχυσε την ασφάλεια κινητής τηλεφωνίας ειδοποιώντας τους χρήστες για μη κρυπτογραφημένες συνδέσεις δικτύου και τη χρήση προσομοιωτών ιστοτόπων κυψέλης για κατασκοπεία ή απάτη SMS.

Η ανακάλυψη του BlankBot υπογραμμίζει τη συνεχιζόμενη εξέλιξη του κακόβουλου λογισμικού Android και την ανάγκη για προσεκτικές πρακτικές ασφαλείας. Καθώς αυτός ο trojan συνεχίζει να αναπτύσσεται, είναι σημαντικό για τους χρήστες να ενημερώνονται και να εκμεταλλεύονται τις ενσωματωμένες λειτουργίες ασφαλείας όπως το Google Play Protect. Παραμένοντας προσεκτικοί και ενήμεροι, οι χρήστες μπορούν να βοηθήσουν στην προστασία των συσκευών και των προσωπικών τους πληροφοριών από αναδυόμενες απειλές.