Нещодавно виявлений банківський троян Android під назвою BlankBot є серйозною загрозою для користувачів Android 13 або новішої версії, попередили дослідники безпеки. Зловмисне програмне забезпечення здатне захоплювати конфіденційну інформацію, таку як SMS-повідомлення, банківські реквізити та навіть шаблон блокування пристрою або PIN-код. Ще більше занепокоєння те, що BlankBot майже не виявляється більшою антивірусною програмою.
Відкриття та можливості
Дослідники з фірми Intel 471, що займаються аналізом загрози, вперше ідентифікували BlankBot 24 липня, причому початкові атаки в основному були спрямовані на турецьких користувачів. Хоча BlankBot все знаходиться в стадії активної розробки, він уже може похвалитися низькою шкідливою ще функцією. До них входять ін’єкції клієнта, клавіатурні журнали, запис екрану та зв’язок із сервером керування через з’єднання WebSocket.
Тактика розповсюдження та скритності
BlankBot зараз розповсюджується під виглядом різних службових програм для пристроїв Android. Після встановлення зловмисного програмного забезпечення пропонує користувачам надати дозволи на доступність під виглядом необхідності їх правильного функціонування. Однак після надання цих дозволів програма піктограма з’являється, і з’являється порожній екран із повідомленням про те, що оновлення триває, і користувачам нічого не торкається. Ця швидкість дозволяє зловмисному програмному забезпеченню отримати додаткові дозволи у фоновому режимі та підключитися до свого шкідливого контрольного сервера.
Троян особливо небезпечний для пристроїв під управлінням Android 13 або новішої версії. Він використовує інсталяційні пакети на базі сеансу, щоб обійти функції обмежених налаштувань, представлені в цих версіях, вимагаючи від користувачів дозволити інсталяцію джерел стороннього джерела для продовження підробленого оновлення. BlankBot також забезпечує свою стійкість, запобігаючи доступу користувачів до налаштування або видаляючи зловмисне програмне забезпечення.
Стратегії пом'якшення
Незважаючи на те, що BlankBot є новим і активно розробляється, користувачі можуть проводити заходи, щоб захистити себе. Найважливішим кроком є програма для завантаження лише з офіційних магазинів додатків, таких як Google Play, і уникнення програми для завантаження з невідомих джерел. Користувачі також повинні бути обережними щодо дозволів, які вони надають, особливо дозволів на доступність, які можуть надати програмі повний контроль над пристроєм. Важливо запитати, чому програмі можуть знадобитися такі дозволи, і виділити альтернативи з авторитетних джерел, які не вимагають ризикованих дозволів.
Відповідь Google
У відповідь на загрозу BlankBot представник Google повідомив: “Згідно з нашими поточними виявленнями, в Google Play не знайдено програму, яка містить це шкідливе програмне забезпечення. Користувачі Android автоматично захищені від відомих версій цього зловмисного програмного забезпечення Google Play Protect, яке включено за умовчанням на пристроях Android із службами Google Play. Google Play Protect попереджає користувачів і блокує програми, які складають це зловмисне програмне забезпечення, навіть якщо ці програми виходять із джерел за межами Play.”
Дотримуючись цих заходів безпеки та залишаючись пильними, користувачі Android можуть значно зменшити ризик стати жертвою BlankBot та подібних загроз.