BlankBot Banking-Trojaner
Cybersicherheitsforscher haben einen neuen Android-Banking-Trojaner namens BlankBot entdeckt, der es auf türkische Benutzer abgesehen hat, um Finanzdaten zu stehlen. BlankBot verfügt über verschiedene Bedrohungsfunktionen, darunter Kundeneinschleusungen, Keylogging und Bildschirmaufzeichnung. Er kommuniziert über eine WebSocket-Verbindung mit einem Kontrollserver.
BlankBot wurde erstmals im Juli 2024 entdeckt und befindet sich Berichten zufolge noch in der aktiven Entwicklung. Die Malware nutzt die Berechtigungen der Android-Zugriffsdienste aus, um die vollständige Kontrolle über infizierte Geräte zu erlangen.
Inhaltsverzeichnis
Verbreitung von BlankBot über gefälschte Anwendungen
Einige der beschädigten APK-Dateien, die BlankBot enthalten, enthalten Varianten mit dem Namen app-release.apk mit Paketkennungen wie com.abcdefg.w568b und com.abcdef.w568b sowie app-release-signed (14).apk mit der Bezeichnung com.whatsapp.chma14 . Darüber hinaus gibt es Dateien mit dem Namen app.apk mit Kennungen wie com.whatsapp.chma14p , com.whatsapp.w568bp und com.whatsapp.w568b .
Ähnlich wie der kürzlich wieder aufgetauchte Android-Trojaner Mandrake verwendet BlankBot einen sitzungsbasierten Paketinstaller, um die in Android 13 eingeführte Funktion für eingeschränkte Einstellungen zu umgehen, die verhindert, dass seitlich geladene Anwendungen direkt unsichere Berechtigungen anfordern. BlankBot fordert das Opfer auf, die Installation von Anwendungen aus Drittanbieterquellen zuzulassen, ruft die im Anwendungs-Asset-Verzeichnis gespeicherte APK-Datei unverschlüsselt ab und fährt mit dem Installationsvorgang fort.
Die Bedrohungslage des BlankBot Banking-Trojaners
Die Malware bietet eine breite Palette an Funktionen, darunter Bildschirmaufzeichnung, Keylogging und Overlay-Injektionen, die durch bestimmte Befehle von einem Remote-Server ausgelöst werden. Ihr Hauptziel besteht darin, Bankkontodaten, Zahlungsinformationen und sogar das Entsperrmuster des Geräts abzufangen.
Darüber hinaus kann BlankBot SMS-Nachrichten abfangen, beliebige Anwendungen deinstallieren und Daten wie Kontaktlisten und installierte Anwendungen sammeln. Außerdem nutzt es die API der Zugänglichkeitsdienste, um den Benutzer daran zu hindern, auf die Geräteeinstellungen zuzugreifen oder Anti-Malware-Software zu starten.
Obwohl es sich bei BlankBot um einen neuen, noch in der Entwicklung befindlichen Banking-Trojaner für Android handelt, kann er, wie die verschiedenen Codevarianten in unterschiedlichen Anwendungen zeigen, bereits schädliche Aktionen ausführen, sobald er ein Android-Gerät infiziert.
Google implementiert zusätzliche Maßnahmen zum Schutz von Android-Nutzern
Google hat die Maßnahmen, die es gegen die Verwendung von Mobilfunksimulatoren wie Stingrays zum direkten Einschleusen von SMS-Nachrichten in Android-Telefone ergreift, detailliert beschrieben. Diese Betrugstechnik, bekannt als SMS-Blaster-Betrug, umgeht die Netze der Mobilfunkanbieter und ihre fortschrittlichen Anti-Spam- und Anti-Betrugsfilter, indem ein gefälschtes LTE- oder 5G-Netz erstellt wird, das die Verbindung des Benutzers zwingt, auf ein veraltetes 2G-Protokoll zurückzugreifen.
Um dieses Problem zu bekämpfen, hat Google Abhilfemaßnahmen eingeführt, die es Benutzern unter anderem ermöglichen, 2G-Verbindungen auf Modemebene zu deaktivieren und Null-Chiffren auszuschalten. Null-Chiffren sind für eine falsche Basisstation entscheidend, um SMS-Nutzdaten einzuschleusen.
