Cheval de Troie bancaire BlankBot
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie bancaire Android nommé BlankBot, qui cible les utilisateurs turcs pour voler des informations financières. BlankBot possède diverses capacités menaçantes, notamment les injections client, l'enregistrement au clavier et l'enregistrement d'écran. Il communique avec un serveur de contrôle via une connexion WebSocket.
Identifié pour la première fois en juillet 2024, BlankBot serait toujours en développement actif. Le malware exploite les autorisations des services d'accessibilité d'Android pour obtenir un contrôle total sur les appareils infectés.
Table des matières
BlankBot se propage via de fausses applications
Certains des fichiers APK corrompus contenant BlankBot incluent des variantes nommées app-release.apk avec des identifiants de package tels que com.abcdefg.w568b et com.abcdef.w568b , ainsi que app-release-signed (14).apk étiqueté comme com. WhatsApp.chma14 . De plus, il existe des fichiers nommés app.apk avec des identifiants tels que com.whatsapp.chma14p , com.whatsapp.w568bp et com.whatsapp.w568b .
Tout comme le cheval de Troie Android Mandrake récemment refait surface, BlankBot utilise un programme d'installation de packages basé sur une session pour contourner la fonctionnalité de paramètres restreints introduite dans Android 13, qui empêche les applications téléchargées de demander directement des autorisations non sécurisées. BlankBot demande à la victime d'autoriser l'installation d'applications provenant de sources tierces, récupère le fichier APK stocké dans le répertoire des ressources de l'application sans cryptage et poursuit le processus d'installation.
Les capacités menaçantes du cheval de Troie bancaire BlankBot
Le malware offre un large éventail de fonctionnalités, notamment l'enregistrement d'écran, l'enregistrement de frappe et les injections de superposition déclenchées par des commandes spécifiques provenant d'un serveur distant. Son objectif principal est de capturer les informations d'identification du compte bancaire, les informations de paiement et même le schéma de déverrouillage de l'appareil.
En plus de ces capacités, BlankBot peut intercepter les messages SMS, désinstaller des applications arbitraires et collecter des données telles que des listes de contacts et des applications installées. Il exploite également l'API des services d'accessibilité pour empêcher l'utilisateur d'accéder aux paramètres de l'appareil ou de lancer un logiciel anti-malware.
Bien que BlankBot soit un nouveau cheval de Troie bancaire Android encore en développement, comme l'indiquent les différentes variantes de code observées dans différentes applications, il est déjà capable d'exécuter des actions nuisibles une fois qu'il infecte un appareil Android.
Google met en œuvre des mesures supplémentaires pour protéger les utilisateurs d'Android
Google a détaillé les mesures qu'il met en œuvre pour lutter contre l'utilisation de simulateurs de sites cellulaires, tels que Stingrays, pour injecter des messages SMS directement dans les téléphones Android. Cette technique de fraude, connue sous le nom de fraude SMS Blaster, contourne les réseaux des opérateurs et leurs filtres anti-spam et anti-fraude avancés en créant un faux réseau LTE ou 5G qui force la connexion de l'utilisateur à revenir à un ancien protocole 2G.
Pour lutter contre ce problème, Google a introduit des mesures d'atténuation qui permettent notamment aux utilisateurs de désactiver les connexions 2G au niveau du modem et de désactiver les chiffrements nuls. Les chiffrements nuls sont cruciaux pour qu’une fausse station de base injecte des charges utiles SMS.
