Эксперты по киберугрозам недавно выявили новый банковский троян для Android, представляющий значительную угрозу для пользователей. Названный BlankBot, этот вредоносный софт умело захватывает SMS-сообщения, банковские учетные данные и даже шаблоны блокировки устройства или PIN-коды. Что отличает BlankBot, так это его скрытный характер; он остается незамеченным большинством антивирусных программ, что делает его особенно коварной угрозой.
Вредоносное ПО было впервые обнаружено исследователями из Intel 471 24 июля и в основном нацелено на пользователей в Турции. Хотя BlankBot все еще считается находящимся в активной разработке, его возможности уже вызывают тревогу. Троян может выполнять различные вредоносные действия, включая инъекции клиентских данных, кейлоггинг и запись экрана, при этом общаясь с управляющим сервером через WebSocket-соединение.
BlankBot нацелен на пользователей Android 13 и новее
В настоящее время BlankBot распространяется через различные утилиты, ориентированные на пользователей Android. Его способность избегать обнаружения большинством антивирусных программ вызывает знакомую озабоченность у тех, кто сталкивался с другими угрозами вредоносного ПО. Чтобы получить полный контроль над зараженным устройством, BlankBot использует службы доступности Android.
После установки пользователям предлагается предоставить необходимые разрешения доступности под предлогом обеспечения правильной работы. Однако скрытым остается отсутствие значка приложения или какого-либо видимого интерфейса. Вместо этого пользователи видят пустой экран с сообщением о том, что идет обновление приложения, и советом не взаимодействовать с устройством. На самом деле троян получает разрешения в фоновом режиме и устанавливает соединение с вредоносным управляющим сервером. Если устройство работает на Android 13 или новее, BlankBot использует установщик пакетов на основе сеансов, который обходит ограниченные настройки, предлагая пользователям разрешить установку из сторонних источников. Эта тактика позволяет вредоносному ПО сохранять устойчивость на устройстве, эффективно блокируя пользователей от критически важных настроек.
Меры по предотвращению заражения BlankBot
Хотя BlankBot все еще развивается, исследователи подчеркивают, что его можно предотвратить, соблюдая основные правила безопасности. Самый важный совет - загружать приложения исключительно из официальных магазинов приложений и избегать установки приложений из сторонних источников, независимо от их привлекательности. Кроме того, пользователи должны проявлять осторожность при предоставлении разрешений, особенно разрешений на доступность, которые могут предоставить приложению обширный контроль над устройством. Важно задаваться вопросом о необходимости таких разрешений и рассматривать возможность использования альтернативных приложений из надежных источников, которые могут предоставить аналогичную функциональность без связанных рисков.
Я обратился в Google за комментарием.