Trojan bankowy BlankBot dla systemu Android może zbierać Twoje dane osobowe
Badacze zajmujący się cyberbezpieczeństwem odkryli nowe zagrożenie w postaci trojana bankowego dla systemu Android o nazwie BlankBot. To złośliwe oprogramowanie atakuje tureckich użytkowników i ma na celu kradzież informacji finansowych różnymi wyrafinowanymi metodami.
Table of Contents
Możliwości pustego bota
BlankBot jest uzbrojony w zestaw szkodliwych funkcjonalności. Według analizy Intel 471 opublikowanej w zeszłym tygodniu, obejmują one:
- Zastrzyki klientów: zwodnicze nakładki, które nakłaniają użytkowników do wprowadzenia poufnych informacji.
- Keylogging: przechwytywanie wszystkiego, co zostanie wpisane na urządzeniu.
- Nagrywanie ekranu: monitorowanie i rejestrowanie działań użytkownika.
- Komunikacja z serwerem sterującym: Używanie połączenia WebSocket do komunikacji z serwerem zdalnego sterowania.
Odkryty 24 lipca 2024 r. BlankBot jest nadal w fazie aktywnego rozwoju. Szkodnik wykorzystuje uprawnienia usług dostępności systemu Android, aby uzyskać pełną kontrolę nad zainfekowanymi urządzeniami. Niektóre pliki APK zidentyfikowane jako zawierające BlankBot obejmują:
- wydanie aplikacji.apk (com.abcdefg.w568b)
- wydanie aplikacji.apk (com.abcdef.w568b)
- app-release-signed (14).apk (com.whatsapp.chma14)
- aplikacja.apk (com.whatsapp.chma14p)
- aplikacja.apk (com.whatsapp.w568bp)
- showcuu.apk (com.whatsapp.w568b)
Jak działa BlankBot
Podobnie jak trojan Mandrake dla systemu Android, BlankBot korzysta z instalatora pakietów opartego na sesji, aby ominąć zabezpieczenia systemu Android 13, które uniemożliwiają aplikacjom ładowanym z boku bezpośrednie żądanie niebezpiecznych uprawnień. Szkodnik prosi ofiary o zezwolenie na instalacje z zewnętrznych źródeł, pobiera plik APK przechowywany w katalogu zasobów aplikacji i kontynuuje instalację bez szyfrowania.
Po zainstalowaniu BlankBot wykonuje różne złośliwe działania, w tym:
- Nagrywanie ekranu i rejestrowanie naciśnięć klawiszy: Aby przechwycić poufne informacje.
- Wstrzykiwanie nakładek: Na podstawie określonych poleceń ze zdalnego serwera w celu kradzieży danych uwierzytelniających bankowość i danych dotyczących płatności.
- Przechwytywanie wiadomości SMS: w celu przechwytywania kodów uwierzytelniających i innych ważnych informacji.
- Odinstalowywanie aplikacji: usuwanie aplikacji zabezpieczających i innego oprogramowania.
- Zbieranie danych: Zbieranie list kontaktów, zainstalowanych aplikacji i innych danych osobowych.
- Zapobieganie dostępowi: korzystanie z interfejsu API usług dostępności w celu blokowania dostępu do ustawień urządzenia i aplikacji antywirusowych.
Środki reagowania i ochrony Google
Firma Google stwierdziła, że w sklepie Google Play nie znaleziono żadnych aplikacji zawierających BlankBot. Użytkownicy Androida są automatycznie chronieni przed znanymi wersjami tego złośliwego oprogramowania przez Google Play Protect, który jest domyślnie włączony na urządzeniach z Usługami Google Play. Ta ochrona ostrzega użytkowników i blokuje aplikacje zawierające złośliwe oprogramowanie, nawet ze źródeł spoza Play.
W odpowiedzi na szersze zagrożenia, w tym te stwarzane przez techniki oszustw SMS Blaster omijające zabezpieczenia sieci operatora, Google wprowadziło kilka środków zaradczych. Należą do nich możliwość wyłączenia 2G na poziomie modemu oraz wyłączenia szyfrów zerowych, które są niezbędne do działania fałszywych stacji bazowych wykorzystywanych w tego typu atakach. Ponadto Google zwiększyło bezpieczeństwo sieci komórkowej, ostrzegając użytkowników o niezaszyfrowanych połączeniach sieciowych i korzystaniu z symulatorów witryn komórkowych do szpiegowania lub oszustw związanych z SMS-ami.
Odkrycie BlankBota uwydatnia ciągłą ewolucję złośliwego oprogramowania dla Androida i potrzebę stosowania czujnych praktyk bezpieczeństwa. Ponieważ trojan ten stale się rozwija, niezwykle ważne jest, aby użytkownicy byli na bieżąco i korzystali z wbudowanych funkcji zabezpieczeń, takich jak Google Play Protect. Zachowując ostrożność i świadomość, użytkownicy mogą pomóc chronić swoje urządzenia i dane osobowe przed pojawiającymi się zagrożeniami.





