Новости Новый троян BlankBot лишает пользователя доступа к смартфону

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Пользователи Android добровольно отдают данные новому трояну.


1jd340ka73clnznnjqlbl2lla0vevr5f.jpg


Специалисты Intel 471 Для просмотра ссылки Войди или Зарегистрируйся новый банковский троян BlankBot, нацеленный на пользователей Android в Турции. Программа создана для кражи финансовой информации и обладает широким спектром вредоносных возможностей.

BlankBot способен выполнять ряд опасных действий: запись нажатий клавиш, запись экрана и обмен данными с сервером управления через WebSocket . Троян находится в стадии активной разработки и использует разрешения служб доступности Android для получения полного контроля над заражённым устройством.

Подобно Для просмотра ссылки Войди или Зарегистрируйся Mandrake, BlankBot использует установщик пакетов, работающий на основе сессий, чтобы обойти ограничение Android 13, которое блокирует приложения, запрашивающие опасные разрешения при установке из сторонних источников.


i2ht5hyn1s709rnd7laod4ee4aj62i80.png


Установка полезной нагрузки BlankBot в Android 13

BlankBot требует от жертвы разрешения на установку приложений из сторонних источников, после чего извлекает APK из каталога ресурсов приложения и приступает к установке. Вредоносное ПО обладает функциями записи экрана, кейлоггинга и отображения оверлея для сбора банковских данных, платёжной информации и даже шаблона разблокировки устройства.


imer5ht4xe9da5bedvs902r2bxc2j7sn.png


Оверлей для кражи платежных данных

Кроме того, BlankBot способен перехватывать SMS-сообщения, удалять приложения и собирать данные, такие как списки контактов и установленных приложений. Троян также использует API службы доступности, чтобы заблокировать пользователю доступ к настройкам устройства или запуску антивирусных приложений.


1igy7ogy7ytrii9q0le74srb7o4ae1id.png


Процесс установки BlankBot

Троян BlankBot находится в стадии активной разработки, что подтверждается наличием множества вариантов кода в различных приложениях. Тем не менее, вредоносное ПО может выполнять опасные действия сразу после заражения устройства.

Представитель Google сообщил, что компания не обнаружила зараженных приложений в Google Play Store. Сотрудник упомянул, что функция Google Play Protect, активированная по умолчанию на устройствах с Google Play Services, автоматически защищает пользователей от известных версий BlankBot, предупреждая пользователя и блокируя зараженные приложения, даже если они поступают из внешних источников.
 
Источник новости
www.securitylab.ru

Похожие темы