Nový bankový trojan BlankBot dokáže prevziať kontrolu nad tvojím smartfónom. Robí to cez túto funkciu smartfónu
V online priestore sa objavuje nový bankový malvér BlankBot, ktorý sa šíri cez podozrivo vyzerajúcu aplikáciu.
Bezpečnostní analytici z Intel 471 odhalili v druhej polovici júla bankový malvér BlankBot, ktorý sa vydáva za užitočné aplikácie. Prvé verzie malvéru pochádzajú z konca júna a vtedy malvér nedokázala zachytiť väčšina antivírových softvérov.
Výskum tohto škodlivého softvéru ukázal, že BlankBot nemožno priradiť k žiadnej existujúcej malvérovej rodine. Ako to ale pri väčšine bankových trójskych koňov býva, aj BlankBot útočí tak, že zneužíva nastavenia dostupnosti. Cez ne získava absolútnu kontrolu nad napadnutými zariadeniami.
V tomto prípade malvér zaznamenáva úplne všetko, čo sa na infikovanom zariadení objavuje. Zahŕňa to SMS správy, citlivé informácie, zoznam používaných aplikácií a oveľa viac. Okrem toho vie malvér BlankBot vložiť do zariadenia ďalší kód a tým ukradnúť citlivé bankové informácie, napríklad číslo karty alebo vzor odomknutia.
Komunikácia medzi malvérom a kyberzločincom začína požiadavkou GET. V rámci nej dostáva hacker informácie o zariadení, napríklad úroveň batérie, veľkosť obrazovky, model, výrobcu a verziu operačného systému. Analytici nenašli žiadny špecifický zoznam finančných inštitúcií, ktoré vie malvér zneužiť.
Z toho usudzujú, že kyberzločinci môžu malvér prispôsobovať a následne útočiť na rôzne krajiny po celom svete.
Neprehliadnite
Ako prebieha infekcia?
Keď sa falošná aplikácia nainštaluje do zariadenia, nezobrazí sa jej ikona na launcheri zariadenia. Veľmi rýchlo sa však objaví obeti obrazovka, v ktorej aplikácia žiada o udelenie povolenia k nastaveniam dostupnosti. O povolenie k tak citlivým nastaveniam žiada pomerne neohrabaným spôsobom.
“Vitajte! Appka potrebuje prístup k nastaveniam dostupnosti, aby správne fungovala. Prosím, dajte prístup k nastaveniam dostupnosti!”, píše sa v aplikácii.
Ďalšia vec, čo môže užívateľa prekvapiť, je, že aplikácia nemá žiadnu výraznú ikonu, len obrázok obyčajného priečinka. Po udelení povolenia nadväzuje aplikácia spojenie s kontrolným serverom. Po udelení povolenia k nastaveniam dostupnosti môže užívateľ vidieť čiernu obrazovku, na ktorej je oznámenie o tom, že sa aplikácia aktualizuje a aby užívateľ nič nestláčal. Na pozadí však kontroluje informácie o telefóne.
Ak má obeť Android 13 alebo vyšší, BlankBot použije iný inštalátor, aby dokázal obísť prísnejšie bezpečnostné nastavenia, ktoré boli použité v nových verziách Androidu. Malvér požiada obeť, aby umožnila inštaláciu aplikácií z tretích strán a následne aplikácia pokračuje v inštalácií malvéru.
Čo malvér dokáže
Malvér BlankBot má veľa funkcií, ktoré kyberzločincom umožnia dostať sa k tvojim citlivým údajom. Bankový malvér dokáže zachytávať nahrávku obrazovky, no táto funkcia je podľa expertov stále vo vývoji. Keď škodlivý softvér špecifikuje šírku a výšku obrazovky, malvér môže začať s nahrávaním.
BlankBot zároveň obsahuje aj keylogger, teda funkciu sledovania stlačení klávesnice. Cez ňu môže získať napríklad prihlasovacie alebo bankové údaje obete. Popri zaznamenávaní klávesnice má však malvér prístup aj k notifikáciám a ďalším citlivým informáciám, ktoré obeť skopíruje do schránky.
Malvér dokáže do zariadenia obete stiahnuť dodatočný škodlivý kód. Ten dovoľuje útočníkovi napríklad zaznamenať vzor odomknutia zariadenia, čo mu zjednoduší prístup v budúcnosti.
Ako to býva pri bankových trójskych koňoch zvykom, BlankBot útočí aj pomocou overlay útoku. Ide o funkciu “obrazovka na obrazovke”, ktorú využíva mnoho legitímnych aplikácií, napríklad Messenger s četovými bublinami. Overlay umožňuje teda jednej aplikácií zobraziť sa nad druhou aplikáciou.
Bankové trojany túto funkciu využívajú na to, aby užívateľom ukázali presnú kópiu prihlasovacej obrazovky svojej bankovej aplikácie. Užívateľ teda nepostrehne, že sa neprihlasuje do originálnej aplikácie, ale posiela prihlasovacie dáta hackerovi.
Bezpečnostní analytici poukazujú na to, že malvér BlankBot je nový bankový trójsky kôň, ktorý je ešte vo vývoji. Znamená to, že do budúcna sa môžu jeho schopnosti rozšíriť a existuje veľká šanca, že sa stane ešte nebezpečnejším.
Komentáre