Siber güvenlik araştırmacıları, Türk kullanıcıları hedef alan ve finansal bilgileri çalmayı amaçlayan BlankBot adlı yeni bir Android bankacılık trojanını keşfetti.
Intel 471, geçen hafta yayınlanan bir analizde, “BlankBot, müşteri enjeksiyonları, tuş kaydı, ekran kaydı gibi bir dizi kötü amaçlı yeteneğe sahip ve bir WebSocket bağlantısı üzerinden bir kontrol sunucusuyla iletişim kuruyor” dedi.
24 Temmuz 2024’te keşfedilen BlankBot’un aktif bir geliştirme sürecinden geçtiği ve kötü amaçlı yazılımın, enfekte olmuş cihazlar üzerinde tam kontrol elde etmek için Android’in erişilebilirlik hizmetleri izinlerini suistimal ettiği söyleniyor.
BlankBot içeren bazı kötü amaçlı APK dosyalarının adları aşağıda listelenmiştir –
- uygulama-sürümü.apk (com.abcdefg.w568b)
- uygulama-sürümü.apk (com.abcdef.w568b)
- uygulama sürümü imzalı (14).apk (com.whatsapp.chma14)
- uygulama.apk (com.whatsapp.chma14p)
- uygulama.apk (com.whatsapp.w568bp)
- showcuu.apk (com.whatsapp.w568b)
Yakın zamanda yeniden ortaya çıkan Mandrake Android Truva atı gibi BlankBot da, Android 13’te tanıtılan ve yan yüklenen uygulamaların doğrudan tehlikeli izinler istemesini engelleyen kısıtlı ayarlar özelliğini aşmak için oturum tabanlı bir paket yükleyici kullanıyor.
Intel 471’de yer alan bilgiye göre, “Bot, kurbandan üçüncü taraf kaynaklardan uygulama yüklemesine izin vermesini istiyor, ardından uygulama varlıkları dizininde saklanan Android paket kiti (APK) dosyasını şifrelemeden alıyor ve paket yükleme işlemine geçiyor.”
Kötü amaçlı yazılım, ekran kaydı yapma, tuş kaydı tutma ve uzak bir sunucudan alınan belirli komutlara göre katmanlar enjekte ederek banka hesap bilgilerini, ödeme verilerini ve hatta cihazın kilidini açmak için kullanılan deseni toplama gibi çok çeşitli özelliklerle birlikte geliyor.
BlankBot ayrıca SMS mesajlarını yakalama, keyfi uygulamaları kaldırma ve kişi listeleri ve yüklü uygulamalar gibi verileri toplama yeteneğine sahiptir. Ayrıca, kullanıcının cihaz ayarlarına erişmesini veya antivirüs uygulamalarını başlatmasını önlemek için erişilebilirlik hizmetleri API’sini kullanır.
Siber güvenlik şirketi, “BlankBot, farklı uygulamalarda gözlemlenen birden fazla kod çeşidiyle kanıtlandığı üzere, hala geliştirilmekte olan yeni bir Android bankacılık trojanıdır,” dedi. “Ne olursa olsun, kötü amaçlı yazılım bir Android cihazına bulaştığında kötü amaçlı eylemler gerçekleştirebilir.”
Açıklama, Google’ın, SMS Blaster dolandırıcılığı olarak adlandırılan ve Android telefonlara doğrudan SMS mesajları enjekte etmek için Stingrays gibi hücresel site simülatörlerini kullanan tehdit aktörlerinin bu dolandırıcılık tekniğine karşı attığı çeşitli adımları özetlemesinin ardından geldi.
Google, “Bu mesaj enjekte etme yöntemi, taşıyıcı şebekesini tamamen atlayarak tüm karmaşık ağ tabanlı anti-spam ve anti-dolandırıcılık filtrelerini atlatıyor,” dedi. “SMS Blaster’lar, tek bir işlevi yerine getiren sahte bir LTE veya 5G şebekesini açığa çıkarıyor: kullanıcının bağlantısını eski bir 2G protokolüne düşürüyor.”
Azaltma önlemleri arasında, kullanıcının modem düzeyinde 2G’yi devre dışı bırakma ve boş şifreleri kapatma seçeneği yer alıyor; bunlardan ikincisi, bir SMS yükünü enjekte etmek için Yanlış Baz İstasyonu için olmazsa olmaz bir yapılandırmadır.
Google, Mayıs ayının başlarında, kullanıcıların hücresel ağ bağlantılarının şifrelenmemiş olması ve suçluların kullanıcıları gözetlemek veya onlara SMS tabanlı dolandırıcılık mesajları göndermek için hücresel site simülatörleri kullanması durumunda kullanıcıları uyararak hücresel güvenliği artırdığını açıklamıştı.