Android BlankBot 銀行木馬可能會收集您的個人數據

網路安全研究人員發現了一種名為 BlankBot 的 Android 銀行木馬形式的新威脅。該惡意軟體針對土耳其用戶，旨在透過各種複雜的方法竊取財務資訊。

BlankBot 功能

BlankBot 配備了一套有害的功能。根據英特爾上週發布的 471 分析，其中包括：

• 客戶注入：欺騙性覆蓋，誘騙使用者輸入敏感資訊。
• 鍵盤記錄：擷取在裝置上鍵入的所有內容。
• 螢幕錄製：監控和記錄使用者活動。
• 控制伺服器通訊：使用 WebSocket 連線與遠端控制伺服器進行通訊。

BlankBot 於 2024 年 7 月 24 日被發現，目前仍在積極開發中。該惡意軟體利用 Android 的輔助服務權限來完全控制受感染的裝置。一些被識別為包含 BlankBot 的 APK 檔案包括：

• 應用程式發布.apk (com.abcdefg.w568b)
• 應用程式發布.apk (com.abcdef.w568b)
• 應用程式發布簽章 (14).apk (com.whatsapp.chma14)
• 應用程式.apk (com.whatsapp.chma14p)
• 應用程式.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

BlankBot 如何運作

與 Mandrake Android 木馬類似，BlankBot 使用基於會話的軟體包安裝程式來繞過 Android 13 的安全措施，這些措施可防止旁加載應用程式直接請求危險權限。該惡意軟體提示受害者允許來自第三方來源的安裝，檢索儲存在應用程式資產目錄中的 APK 文件，並在不加密的情況下繼續安裝。

一旦安裝，BlankBot 就會執行各種惡意操作，包括：

• 螢幕錄製和鍵盤記錄：捕捉敏感資訊。
• 注入覆蓋層：基於來自遠端伺服器的特定命令來竊取銀行憑證和付款資料。
• 攔截簡訊：捕捉驗證碼和其他關鍵訊息。
• 卸載應用程式：刪除安全應用程式和其他軟體。
• 收集資料：收集聯絡人清單、安裝的應用程式和其他個人資料。
• 阻止存取：使用輔助功能服務 API 阻止對裝置設定和防毒應用程式的存取。

Google 的回應和保護措施

谷歌表示，在 Google Play 商店中未發現包含 BlankBot 的應用程式。 Google Play Protect 會自動保護 Android 使用者免受該惡意軟體的已知版本的侵害，該功能在具有 Google Play 服務的裝置上預設為啟用。這種保護會向用戶發出警告並阻止包含惡意軟體的應用程序，甚至來自 Play 之外的來源。

為了應對更廣泛的威脅，包括繞過營運商網路保護的 SMS Blaster 詐欺技術帶來的威脅，Google 推出了多項緩解措施。其中包括在調製解調器層級停用 2G 並關閉空密碼的選項，這對於此類攻擊中使用的虛假基地台的操作至關重要。此外，Google還透過提醒用戶注意未加密的網路連線以及使用蜂窩站點模擬器進行窺探或簡訊詐欺來加強蜂窩安全。

BlankBot 的發現突顯了 Android 惡意軟體的不斷演變以及警惕安全實踐的必要性。隨著該木馬的不斷發展，用戶及時了解情況並利用 Google Play Protect 等內建安全功能至關重要。透過保持謹慎和意識，使用者可以幫助保護他們的設備和個人資訊免受新出現的威脅。