Nový bankový trojan BlankBot dokáže prevziať kontrolu nad tvojím smartfónom. Robí to cez túto funkciu smartfónu

V online priestore sa objavuje nový bankový malvér BlankBot, ktorý sa šíri cez podozrivo vyzerajúcu aplikáciu.

Akými spôsobmi sa hackeri dostávajú k údajom platobnej karty?
Zdroj: Unsplash (Adnan Khan, engin akyurt), Pixaby.com (Tumisu a Nikin), Vosveteit.sk

Bezpečnostní analytici z Intel 471 odhalili v druhej polovici júla bankový malvér BlankBot, ktorý sa vydáva za užitočné aplikácie. Prvé verzie malvéru pochádzajú z konca júna a vtedy malvér nedokázala zachytiť väčšina antivírových softvérov.  

Výskum tohto škodlivého softvéru ukázal, že BlankBot nemožno priradiť k žiadnej existujúcej malvérovej rodine. Ako to ale pri väčšine bankových trójskych koňov býva, aj BlankBot útočí tak, že zneužíva nastavenia dostupnosti. Cez ne získava absolútnu kontrolu nad napadnutými zariadeniami.  

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

V tomto prípade malvér zaznamenáva úplne všetko, čo sa na infikovanom zariadení objavuje. Zahŕňa to SMS správy, citlivé informácie, zoznam používaných aplikácií a oveľa viac. Okrem toho vie malvér BlankBot vložiť do zariadenia ďalší kód a tým ukradnúť citlivé bankové informácie, napríklad číslo karty alebo vzor odomknutia.  

Komunikácia medzi malvérom a kyberzločincom začína požiadavkou GET. V rámci nej dostáva hacker informácie o zariadení, napríklad úroveň batérie, veľkosť obrazovky, model, výrobcu a verziu operačného systému. Analytici nenašli žiadny špecifický zoznam finančných inštitúcií, ktoré vie malvér zneužiť.  

Z toho usudzujú, že kyberzločinci môžu malvér prispôsobovať a následne útočiť na rôzne krajiny po celom svete.  

Ako prebieha infekcia? 

Keď sa falošná aplikácia nainštaluje do zariadenia, nezobrazí sa jej ikona na launcheri zariadenia. Veľmi rýchlo sa však objaví obeti obrazovka, v ktorej aplikácia žiada o udelenie povolenia k nastaveniam dostupnosti. O povolenie k tak citlivým nastaveniam žiada pomerne neohrabaným spôsobom.  

“Vitajte! Appka potrebuje prístup k nastaveniam dostupnosti, aby správne fungovala. Prosím, dajte prístup k nastaveniam dostupnosti!”, píše sa v aplikácii.

Objavil sa nový bankový malvér BlankBot Na túto appku si dávaj pozor
Zdroj: Intel 471

Ďalšia vec, čo môže užívateľa prekvapiť, je, že aplikácia nemá žiadnu výraznú ikonu, len obrázok obyčajného priečinka. Po udelení povolenia nadväzuje aplikácia spojenie s kontrolným serverom. Po udelení povolenia k nastaveniam dostupnosti môže užívateľ vidieť čiernu obrazovku, na ktorej je oznámenie o tom, že sa aplikácia aktualizuje a aby užívateľ nič nestláčal. Na pozadí však kontroluje informácie o telefóne.  

Ak má obeť Android 13 alebo vyšší, BlankBot použije iný inštalátor, aby dokázal obísť prísnejšie bezpečnostné nastavenia, ktoré boli použité v nových verziách Androidu. Malvér požiada obeť, aby umožnila inštaláciu aplikácií z tretích strán a následne aplikácia pokračuje v inštalácií malvéru.  

faketoken-trojsky kon
Zdroj: Vosveteit.sk, dall·E

Čo malvér dokáže 

Malvér BlankBot má veľa funkcií, ktoré kyberzločincom umožnia dostať sa k tvojim citlivým údajom. Bankový malvér dokáže zachytávať nahrávku obrazovky, no táto funkcia je podľa expertov stále vo vývoji. Keď škodlivý softvér špecifikuje šírku a výšku obrazovky, malvér môže začať s nahrávaním.  

BlankBot zároveň obsahuje aj keylogger, teda funkciu sledovania stlačení klávesnice. Cez ňu môže získať napríklad prihlasovacie alebo bankové údaje obete. Popri zaznamenávaní klávesnice má však malvér prístup aj k notifikáciám a ďalším citlivým informáciám, ktoré obeť skopíruje do schránky.  

Malvér dokáže do zariadenia obete stiahnuť dodatočný škodlivý kód. Ten dovoľuje útočníkovi napríklad zaznamenať vzor odomknutia zariadenia, čo mu zjednoduší prístup v budúcnosti.  

Ako to býva pri bankových trójskych koňoch zvykom, BlankBot útočí aj pomocou overlay útoku. Ide o funkciu “obrazovka na obrazovke”, ktorú využíva mnoho legitímnych aplikácií, napríklad Messenger s četovými bublinami. Overlay umožňuje teda jednej aplikácií zobraziť sa nad druhou aplikáciou.  

Bankové trojany túto funkciu využívajú na to, aby užívateľom ukázali presnú kópiu prihlasovacej obrazovky svojej bankovej aplikácie. Užívateľ teda nepostrehne, že sa neprihlasuje do originálnej aplikácie, ale posiela prihlasovacie dáta hackerovi.  

Bezpečnostní analytici poukazujú na to, že malvér BlankBot je nový bankový trójsky kôň, ktorý je ešte vo vývoji. Znamená to, že do budúcna sa môžu jeho schopnosti rozšíriť a existuje veľká šanca, že sa stane ešte nebezpečnejším. 

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre