O Trojan Android BlankBot Banking pode coletar seus dados pessoais

Pesquisadores de segurança cibernética descobriram uma nova ameaça na forma de um trojan bancário Android chamado BlankBot. Este software malicioso tem como alvo os utilizadores turcos, com o objetivo de roubar informações financeiras através de uma variedade de métodos sofisticados.

Capacidades do BlankBot

BlankBot está armado com um conjunto de funcionalidades prejudiciais. De acordo com a análise do Intel 471 publicada na semana passada, estes incluem:

• Injeções de clientes: sobreposições enganosas que enganam os usuários para que insiram informações confidenciais.
• Keylogging: Capturando tudo o que é digitado no dispositivo.
• Gravação de tela: Monitoramento e gravação das atividades do usuário.
• Comunicação do servidor de controle: usando uma conexão WebSocket para se comunicar com um servidor de controle remoto.

Descoberto em 24 de julho de 2024, o BlankBot ainda está em desenvolvimento ativo. O malware aproveita as permissões dos serviços de acessibilidade do Android para obter controle total sobre os dispositivos infectados. Alguns dos arquivos APK identificados como contendo BlankBot incluem:

• app-release.apk (com.abcdefg.w568b)
• app-release.apk (com.abcdef.w568b)
• app-release-assinado (14).apk (com.whatsapp.chma14)
• app.apk (com.whatsapp.chma14p)
• app.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

Como funciona o BlankBot

Semelhante ao trojan Mandrake Android, o BlankBot usa um instalador de pacote baseado em sessão para contornar as medidas de segurança do Android 13 que evitam que aplicativos transferidos por sideload solicitem permissões perigosas diretamente. O malware solicita às vítimas que permitam instalações de fontes de terceiros, recupera o arquivo APK armazenado no diretório de ativos do aplicativo e prossegue com a instalação sem criptografia.

Uma vez instalado, o BlankBot executa várias ações maliciosas, incluindo:

• Gravação de tela e keylogging: para capturar informações confidenciais.
• Injeção de sobreposições: baseada em comandos específicos de um servidor remoto para roubar credenciais bancárias e dados de pagamento.
• Interceptação de mensagens SMS: Para capturar códigos de autenticação e outras informações críticas.
• Desinstalando aplicativos: Removendo aplicativos de segurança e outros softwares.
• Coleta de dados: coleta de listas de contatos, aplicativos instalados e outros dados pessoais.
• Prevenção de acesso: uso da API de serviços de acessibilidade para bloquear o acesso às configurações do dispositivo e aplicativos antivírus.

Medidas de resposta e proteção do Google

O Google afirmou que nenhum aplicativo contendo BlankBot foi encontrado na Google Play Store. Os usuários do Android são automaticamente protegidos contra versões conhecidas desse malware pelo Google Play Protect, que é ativado por padrão em dispositivos com Google Play Services. Essa proteção avisa os usuários e bloqueia aplicativos que contêm malware, mesmo de fontes fora do Google Play.

Em resposta a ameaças mais amplas, incluindo aquelas representadas pelas técnicas de fraude SMS Blaster que contornam as proteções da rede da operadora, o Google introduziu diversas medidas de mitigação. Isso inclui a opção de desabilitar 2G no nível do modem e desligar cifras nulas, que são essenciais para o funcionamento de Falsas Estações Base usadas em tais ataques. Além disso, o Google intensificou a segurança celular alertando os usuários sobre conexões de rede não criptografadas e o uso de simuladores de sites de celular para espionagem ou fraude de SMS.

A descoberta do BlankBot destaca a evolução contínua do malware Android e a necessidade de práticas de segurança vigilantes. À medida que esse trojan continua a se desenvolver, é crucial que os usuários se mantenham informados e aproveitem os recursos de segurança integrados, como o Google Play Protect. Ao permanecerem cautelosos e atentos, os usuários podem ajudar a proteger seus dispositivos e informações pessoais contra ameaças emergentes.