网络安全研究人员发现了一种名为 BlankBot 的新 Android 银行木马,该木马针对土耳其用户,旨在窃取财务信息。
Intel 471在上周发表的一份分析报告中表示:“BlankBot具有一系列恶意功能,包括客户注入,键盘记录,屏幕录制,并通过WebSocket连接与控制服务器进行通信。
据说 BlankBot 于 2024 年 7 月 24 日被发现,正在积极开发中,该恶意软件滥用 Android 的辅助功能服务权限来完全控制受感染的设备。
下面列出了一些包含 BlankBot 的恶意 APK 文件的名称 –
- app-release.apk (com.abcdefg.w568b)
- app-release.apk (com.abcdef.w568b)
- 应用程序发布签名 (14).apk (com.whatsapp.chma14)
- app.apk (com.whatsapp.chma14p)
- app.apk (com.whatsapp.w568bp)
- showcuu.apk (com.whatsapp.w568b)
与最近重新出现的 Mandrake Android 木马一样,BlankBot 实现了一个基于会话的包安装程序,以规避 Android 13 中引入的限制设置功能,以阻止侧载应用程序直接请求危险权限。
“该机器人要求受害者允许安装来自第三方来源的应用程序,然后它检索存储在应用程序资产目录中的 Android 包套件 (APK) 文件,没有加密,并继续包安装过程,”Intel 471 说。
该恶意软件具有广泛的功能,可以根据从远程服务器收到的特定命令执行屏幕录制、键盘记录和注入覆盖,以收集银行账户凭据、支付数据,甚至用于解锁设备的模式。
BlankBot 还能够拦截 SMS 消息、卸载任意应用程序以及收集联系人列表和已安装应用程序等数据。它还利用辅助功能服务 API 来阻止用户访问设备设置或启动防病毒应用程序。
“BlankBot 是一种新的 Android 银行木马,仍在开发中,在不同应用程序中观察到的多种代码变体证明了这一点,”这家网络安全公司表示。“无论如何,一旦恶意软件感染了Android设备,它就可以执行恶意操作。”
谷歌发言人告诉The Hacker News,该公司尚未在Google Play商店中找到任何包含该恶意软件的应用程序。
这家科技巨头表示:“Google Play Protect会自动保护Android用户免受此恶意软件的已知版本的侵害,该保护在具有Google Play服务的Android设备上默认处于开启状态。“Google Play Protect 会警告用户并阻止包含此恶意软件的应用,即使这些应用来自 Play 以外的来源。”
谷歌概述了它正在采取的各种措施,以打击威胁行为者使用黄貂鱼等蜂窝站点模拟器将短信直接注入Android手机,这种欺诈技术被称为SMS Blaster欺诈。
“这种注入消息的方法完全绕过了运营商网络,从而绕过了所有复杂的基于网络的反垃圾邮件和反欺诈过滤器,”谷歌说。“SMS Blasters 暴露了一个虚假的 LTE 或 5G 网络,该网络执行单一功能:将用户的连接降级到传统的 2G 协议。”
缓解措施包括用户选项,可以在调制解调器级别禁用 2G 并关闭零密码,后者是虚假基站的基本配置,以便注入 SMS 有效载荷。
今年5月初,谷歌还表示,如果它的蜂窝网络连接未加密,以及犯罪分子是否使用蜂窝站点模拟器窥探用户或向他们发送基于短信的欺诈信息,它正在加强蜂窝网络安全。
发表评论
您还未登录,请先登录。
登录