Pesquisadores de cibersegurança descobriram um novo trojan bancário para Android, chamado BlankBot, que visa usuários turcos com o objetivo de roubar informações financeiras.
"O BlankBot possui uma série de capacidades maliciosas, incluindo injeções customizadas, keylogging, gravação de tela e se comunica com um servidor de controle por meio de uma conexão WebSocket," disse a Intel 471 em uma análise publicada na última semana.
Descoberto em 24 de julho de 2024, o BlankBot está supostamente em desenvolvimento ativo, com o malware abusando das permissões dos serviços de acessibilidade do Android para obter controle total sobre os dispositivos infectados.
Os nomes de alguns dos arquivos APK maliciosos contendo BlankBot estão listados abaixo:
app-release.apk (com.abcdefg.w568b)
app-release.apk (com.abcdef.w568b)
app-release-signed (14).apk (com.whatsapp.chma14)
app.apk (com.whatsapp.chma14p)
app.apk (com.whatsapp.w568bp)
showcuu.apk (com.whatsapp.w568b)
Assim como o trojan Android Mandrake, que reapareceu recentemente, o BlankBot implementa um instalador de pacotes baseado em sessão para contornar o recurso de configurações restritas introduzido no Android 13 para bloquear aplicações carregadas lateralmente de solicitar diretamente permissões perigosas.
"O bot pede à vítima para permitir a instalação de aplicativos de fontes terceiras, em seguida, recupera o arquivo Android package kit (APK) armazenado no diretório de ativos do aplicativo sem criptografia e prossegue com o processo de instalação do pacote," disse a Intel 471.
O malware vem com uma ampla gama de recursos para realizar gravação de tela, keylogging e injetar sobreposições com base em comandos específicos recebidos de um servidor remoto para colher credenciais de contas bancárias, dados de pagamento e até mesmo o padrão usado para desbloquear o dispositivo.
O BlankBot também é capaz de interceptar mensagens SMS, desinstalar aplicativos arbitrários e coletar dados como listas de contatos e aplicativos instalados.
Ele ainda utiliza a API dos serviços de acessibilidade para impedir que o usuário acesse as configurações do dispositivo ou inicie aplicativos antivírus.
"O BlankBot é um novo trojan bancário para Android ainda em desenvolvimento, conforme evidenciado pelas múltiplas variantes de código observadas em diferentes aplicações," disse a empresa de cibersegurança.
No entanto, o malware pode realizar ações maliciosas assim que infecta um dispositivo Android. Um porta-voz do Google disse ao The Hacker News que a empresa não encontrou nenhum aplicativo contendo o malware na Google Play Store.
“Usuários de Android são automaticamente protegidos contra versões conhecidas deste malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com os Serviços Google Play,” disse a gigante da tecnologia.
O Google Play Protect alerta os usuários e bloqueia aplicativos que contêm este malware, mesmo quando esses aplicativos vêm de fontes externas à Play.
A divulgação ocorre enquanto o Google delineou as várias etapas que está tomando para combater o uso de simuladores de células, como Stingrays, por atores de ameaças para injetar mensagens SMS diretamente em telefones Android, uma técnica de fraude conhecida como fraude SMS Blaster.
"Este método para injetar mensagens ignora completamente a rede da operadora, contornando assim todos os filtros avançados de anti-spam e anti-fraude baseados na rede," disse o Google.
Os SMS Blasters expõem uma rede LTE ou 5G falsa que executa uma única função: rebaixar a conexão do usuário para um protocolo legado 2G. As medidas de mitigação incluem uma opção de usuário para desativar o 2G no nível do modem e desativar cifras nulas, a última das quais é uma configuração essencial para uma Falsa Estação Base para injetar um payload SMS.
No início de maio, o Google também disse que está reforçando a segurança celular ao alertar os usuários se sua conexão de rede celular estiver descriptografada e se criminosos estiverem usando simuladores de sites celulares para espionar os usuários ou enviar-lhes mensagens de fraude baseadas em SMS.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...