يستهدف حصان طروادة الجديد “BlankBot” لنظام Android البيانات المالية للمستخدمين الأتراك
اكتشف باحثون في مجال الأمن السيبراني فيروس طروادة مصرفيًا جديدًا يعمل بنظام Android يسمى BlankBot يستهدف المستخدمين الأتراك بهدف سرقة المعلومات المالية.
“يتميز BlankBot بمجموعة من القدرات الضارة، والتي تشمل حقن العملاء، وتسجيل لوحة المفاتيح، وتسجيل الشاشة، ويتواصل مع خادم التحكم عبر اتصال WebSocket،” Intel 471 قال في تحليل نشر الأسبوع الماضي.
تم اكتشاف BlankBot في 24 يوليو 2024، ويقال إنه يخضع للتطوير النشط، حيث تستغل البرامج الضارة أذونات خدمات الوصول الخاصة بنظام Android للحصول على التحكم الكامل في الأجهزة المصابة.
أسماء بعض ملفات APK الضارة التي تحتوي على BlankBot مدرجة أدناه –
- app-release.apk (com.abcdefg.w568b)
- app-release.apk (com.abcdef.w568b)
- توقيع إصدار التطبيق (14).apk (com.whatsapp.chma14)
- app.apk (com.whatsapp.chma14p)
- app.apk (com.whatsapp.w568bp)
- showcuu.apk (com.whatsapp.w568b)
مثل حصان طروادة Mandrake Android الذي أعيد ظهوره مؤخرًا، يطبق BlankBot أداة تثبيت الحزمة المستندة إلى الجلسة للتحايل على ميزة الإعدادات المقيدة المقدمة في Android 13 لمنع التطبيقات المحملة جانبيًا من طلب أذونات خطيرة مباشرة.
وقالت Intel 471: “يطلب الروبوت من الضحية السماح بتثبيت التطبيقات من مصادر الطرف الثالث، ثم يسترد ملف حزمة Android (APK) المخزن داخل دليل أصول التطبيق بدون تشفير ويواصل عملية تثبيت الحزمة”.
تأتي البرمجيات الخبيثة مع مجموعة واسعة من الميزات لإجراء تسجيل الشاشة، وتسجيل لوحة المفاتيح، وإدخال التراكبات بناءً على أوامر محددة يتم تلقيها من خادم بعيد لجمع بيانات اعتماد الحساب المصرفي، وبيانات الدفع، وحتى النمط المستخدم لفتح الجهاز.
BlankBot قادر أيضًا على اعتراض الرسائل النصية القصيرة وإلغاء تثبيت التطبيقات العشوائية وجمع البيانات مثل قوائم جهات الاتصال والتطبيقات المثبتة. كما أنه يستخدم واجهة برمجة تطبيقات خدمات إمكانية الوصول لمنع المستخدم من الوصول إلى إعدادات الجهاز أو تشغيل تطبيقات مكافحة الفيروسات.
وقالت شركة الأمن السيبراني: “إن BlankBot عبارة عن حصان طروادة مصرفي جديد يعمل بنظام Android لا يزال قيد التطوير، كما يتضح من متغيرات التعليمات البرمجية المتعددة التي لوحظت في التطبيقات المختلفة”. “وبغض النظر عن ذلك، يمكن للبرامج الضارة تنفيذ إجراءات ضارة بمجرد إصابة جهاز يعمل بنظام التشغيل Android.”
ويأتي هذا الكشف في الوقت الذي حددت فيه جوجل الخطوات المختلفة التي تتخذها لمكافحة استخدام الجهات الفاعلة في مجال التهديد لمحاكيات المواقع الخلوية مثل Stingrays لحقن رسائل SMS مباشرة في هواتف Android، وهي تقنية احتيال يشار إليها باسم احتيال SMS Blaster.
“هذه الطريقة لإدخال الرسائل تتجاوز شبكة الناقل بالكامل، وبالتالي تتجاوز جميع عوامل تصفية البريد العشوائي ومكافحة الاحتيال المتطورة القائمة على الشبكة،” جوجل قال. “تكشف SMS Blasters عن شبكة LTE أو 5G مزيفة تنفذ وظيفة واحدة: خفض اتصال المستخدم إلى بروتوكول 2G القديم.”
تتضمن إجراءات التخفيف خيار المستخدم لتعطيل 2G على مستوى المودم وإيقاف تشغيله الأصفار الفارغة، وهذا الأخير هو تكوين أساسي لمحطة قاعدة زائفة من أجل حقن حمولة الرسائل القصيرة.
وفي وقت سابق من شهر مايو، قالت جوجل أيضًا إنها تعمل على تعزيز الأمن الخلوي من خلال تنبيه المستخدمين إذا كان اتصال الشبكة الخلوية الخاصة بهم غير مشفر وإذا كان المجرمون يستخدمون محاكيات المواقع الخلوية للتجسس على المستخدمين أو إرسال رسائل احتيال تعتمد على الرسائل القصيرة إليهم.
إرسال التعليق