Neuer Android-Trojaner “BlankBot” zielt auf türkische Benutzerdaten ab
Cybersicherheitsforscher haben einen neuen Android-Banking-Trojaner namens BlankBot entdeckt, der türkische Benutzer ins Visier nimmt, um finanzielle Informationen zu stehlen.
“BlankBot verfügt über eine Reihe von bösartigen Fähigkeiten, darunter Kundeninjektionen, Keylogging, Bildschirmaufzeichnung und kommuniziert über eine WebSocket-Verbindung mit einem Steuerungsserver”, sagte Intel 471 in einer letzten Woche veröffentlichten Analyse.
Am 24. Juli 2024 entdeckt, befindet sich BlankBot angeblich in aktiver Entwicklung, wobei die Malware die Berechtigungen für die Zugänglichkeitsdienste von Android missbraucht, um die vollständige Kontrolle über die infizierten Geräte zu erlangen.
Die Namen einiger bösartiger APK-Dateien, die BlankBot enthalten, sind unten aufgeführt –
app-release.apk (com.abcdefg.w568b)
app-release.apk (com.abcdef.w568b)
app-release-signed (14).apk (com.whatsapp.chma14)
app.apk (com.whatsapp.chma14p)
app.apk (com.whatsapp.w568bp)
showcuu.apk (com.whatsapp.w568b)
Wie der kürzlich wieder aufgetauchte Mandrake Android-Trojaner implementiert BlankBot einen sitzungsbasierten Paketinstaller, um die eingeschränkte Einstellungsfunktion zu umgehen, die in Android 13 eingeführt wurde, um das direkte Anfordern gefährlicher Berechtigungen von seitlich geladenen Anwendungen zu blockieren.
“Der Bot fordert das Opfer auf, die Installation von Anwendungen aus Drittanbieterquellen zu erlauben, dann ruft er die im Anwendungsassets-Verzeichnis gespeicherte Android-Paketdatei (APK) ohne Verschlüsselung ab und fährt mit dem Paketinstallationsprozess fort”, sagte Intel 471.
Die Malware verfügt über eine Vielzahl von Funktionen zur Bildschirmaufzeichnung, zum Keylogging und zum Einblenden von Overlays auf der Grundlage spezifischer Befehle, die von einem Remote-Server empfangen werden, um Bankkontozugangsdaten, Zahlungsdaten und sogar das Muster, das zum Entsperren des Geräts verwendet wird, zu sammeln.
BlankBot ist auch in der Lage, SMS-Nachrichten abzufangen, beliebige Anwendungen zu deinstallieren und Daten wie Kontaktlisten und installierte Apps zu sammeln. Darüber hinaus nutzt es die API für Zugänglichkeitsdienste, um zu verhindern, dass der Benutzer auf Geräteeinstellungen zugreift oder Antiviren-Apps startet.
“BlankBot ist ein neuer Android-Banking-Trojaner, der sich noch in der Entwicklung befindet, wie durch die verschiedenen Codevarianten in verschiedenen Anwendungen belegt ist”, sagte das Cybersicherheitsunternehmen. “Ungeachtet dessen kann die Malware bösartige Aktionen ausführen, sobald sie ein Android-Gerät infiziert.”
Die Offenlegung erfolgt, während Google die verschiedenen Schritte skizziert hat, die unternommen werden, um die Nutzung von Mobilfunk-Site-Simulatoren wie Stingrays durch Bedrohungsakteure zu bekämpfen, um SMS-Nachrichten direkt in Android-Telefone einzuspeisen, eine Betrugstechnik, die als SMS-Blaster-Betrug bezeichnet wird.
“Diese Methode zum Einspeisen von Nachrichten umgeht vollständig das Trägernetzwerk und umgeht somit alle ausgeklügelten netzwerkbasierten Anti-Spam- und Anti-Betrugsfilter”, sagte Google. “SMS-Blaster setzen ein gefälschtes LTE- oder 5G-Netzwerk ein, das eine einzige Funktion ausführt: die Herabstufung der Verbindung des Benutzers auf ein veraltetes 2G-Protokoll.”
Zu den Maßnahmen zur Minderung gehören eine Benutzeroption, um 2G auf Modemebene zu deaktivieren und Nullchiffren auszuschalten, letztere ist eine wesentliche Konfiguration für eine falsche Basisstation, um eine SMS-Nutzlast einzuspeisen.
Google sagte auch im Mai, dass es die Sicherheit des Mobilfunks erhöht, indem es Benutzer warnt, wenn ihre Mobilfunknetzverbindung unverschlüsselt ist und wenn Kriminelle Mobilfunk-Site-Simulatoren nutzen, um Benutzer auszuspionieren oder ihnen SMS-basierte Betrugsnachrichten zu senden.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.
Quelle: https://ift.tt/WeGBb0g