Банковский троян Android BlankBot может собирать ваши личные данные

Исследователи кибербезопасности обнаружили новую угрозу в виде банковского трояна для Android под названием BlankBot. Это вредоносное программное обеспечение нацелено на турецких пользователей с целью украсть финансовую информацию с помощью различных изощренных методов.

Возможности BlankBot

BlankBot оснащен набором вредоносных функций. Согласно анализу Intel 471, опубликованному на прошлой неделе, к ним относятся:

• Клиентские инъекции: обманчивые наложения, которые обманным путем заставляют пользователей вводить конфиденциальную информацию.
• Кейлоггинг: Захват всего, что набирается на устройстве.
• Запись экрана: мониторинг и запись действий пользователя.
• Связь с сервером управления: использование соединения WebSocket для связи с сервером удаленного управления.

Обнаруженный 24 июля 2024 года, BlankBot все еще находится в активной разработке. Вредоносное ПО использует разрешения служб специальных возможностей Android для получения полного контроля над зараженными устройствами. Некоторые из APK-файлов, в которых содержится BlankBot, включают:

• приложение-release.apk (com.abcdefg.w568b)
• приложение-release.apk (com.abcdef.w568b)
• подписанное приложение-релиза (14).apk (com.whatsapp.chma14)
• app.apk (com.whatsapp.chma14p)
• app.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

Как работает BlankBot

Подобно Android-трояну Mandrake, BlankBot использует сеансовый установщик пакетов для обхода мер безопасности Android 13, которые не позволяют загруженным неопубликованным приложениям напрямую запрашивать опасные разрешения. Вредоносная программа предлагает жертвам разрешить установку из сторонних источников, извлекает APK-файл, хранящийся в каталоге ресурсов приложения, и продолжает установку без шифрования.

После установки BlankBot выполняет различные вредоносные действия, в том числе:

• Запись экрана и кейлоггинг: для захвата конфиденциальной информации.
• Внедрение наложений: основано на определенных командах с удаленного сервера для кражи банковских учетных данных и платежных данных.
• Перехват SMS-сообщений: для перехвата кодов аутентификации и другой важной информации.
• Удаление приложений: удаление приложений безопасности и другого программного обеспечения.
• Сбор данных: сбор списков контактов, установленных приложений и других личных данных.
• Предотвращение доступа: использование API служб специальных возможностей для блокировки доступа к настройкам устройства и антивирусным приложениям.

Реагирование и меры защиты Google

Google заявил, что в магазине Google Play не обнаружено приложений, содержащих BlankBot. Пользователи Android автоматически защищаются от известных версий этого вредоносного ПО с помощью Google Play Protect, который по умолчанию включен на устройствах с сервисами Google Play. Эта защита предупреждает пользователей и блокирует приложения, содержащие вредоносное ПО, даже из источников за пределами Play.

В ответ на более широкие угрозы, в том числе связанные с методами мошенничества с SMS Blaster, которые обходят защиту сети оператора связи, Google ввела несколько мер по смягчению последствий. К ним относятся возможность отключения 2G на уровне модема и отключения нулевых шифров, которые необходимы для работы ложных базовых станций, используемых в таких атаках. Кроме того, Google усилил безопасность сотовой связи, предупреждая пользователей о незашифрованных сетевых соединениях и использовании симуляторов сотовых сайтов для слежки или мошенничества с SMS.

Обнаружение BlankBot подчеркивает продолжающуюся эволюцию вредоносного ПО для Android и необходимость бдительных мер безопасности. Поскольку этот троян продолжает развиваться, пользователям крайне важно оставаться в курсе событий и пользоваться встроенными функциями безопасности, такими как Google Play Protect. Сохраняя осторожность и осведомленность, пользователи могут помочь защитить свои устройства и личную информацию от возникающих угроз.