Troyano bancario BlankBot
Investigadores de ciberseguridad han expuesto un nuevo troyano bancario para Android llamado BlankBot, que apunta a usuarios turcos para robar información financiera. BlankBot posee varias capacidades amenazantes, incluidas inyecciones de clientes, registro de teclas y grabación de pantalla. Se comunica con un servidor de control a través de una conexión WebSocket.
Identificado por primera vez en julio de 2024, BlankBot todavía se encuentra en desarrollo activo. El malware explota los permisos de los servicios de accesibilidad de Android para obtener un control total sobre los dispositivos infectados.
Tabla de contenido
BlankBot se propaga a través de aplicaciones falsas
Algunos de los archivos APK corruptos que contienen BlankBot incluyen variaciones denominadas app-release.apk con identificadores de paquete como com.abcdefg.w568b y com.abcdef.w568b , así como app-release-signed (14).apk etiquetado como com. whatsapp.chma14 . Además, hay archivos llamados app.apk con identificadores como com.whatsapp.chma14p , com.whatsapp.w568bp y com.whatsapp.w568b .
Al igual que el troyano Mandrake para Android recientemente resurgido, BlankBot emplea un instalador de paquetes basado en sesiones para eludir la función de configuración restringida introducida en Android 13, que evita que las aplicaciones descargadas soliciten directamente permisos inseguros. BlankBot solicita a la víctima que permita la instalación de aplicaciones de fuentes de terceros, recupera el archivo APK almacenado en el directorio de activos de la aplicación sin cifrado y continúa con el proceso de instalación.
Las capacidades amenazadoras del troyano bancario BlankBot
El malware ofrece una amplia gama de funciones, que incluyen grabación de pantalla, registro de teclas e inyecciones de superposición activadas por comandos específicos desde un servidor remoto. Su objetivo principal es capturar credenciales de cuentas bancarias, información de pago e incluso el patrón de desbloqueo del dispositivo.
Además de estas capacidades, BlankBot puede interceptar mensajes SMS, desinstalar aplicaciones arbitrarias y recopilar datos como listas de contactos y aplicaciones instaladas. También explota la API de servicios de accesibilidad para impedir que el usuario acceda a la configuración del dispositivo o inicie software antimalware.
Aunque BlankBot es un nuevo troyano bancario para Android aún en desarrollo, como lo indican las distintas variantes de código observadas en diferentes aplicaciones, ya es capaz de ejecutar acciones dañinas una vez infecta un dispositivo Android.
Google implementa medidas adicionales para proteger a los usuarios de Android
Google ha detallado las medidas que está implementando para abordar el uso de simuladores de sitios celulares, como Stingrays, para inyectar mensajes SMS directamente en teléfonos Android. Esta técnica de fraude, conocida como fraude SMS Blaster, elude las redes de los operadores y sus filtros antispam y antifraude avanzados al crear una red LTE o 5G falsa que obliga a la conexión del usuario a volver a un protocolo 2G heredado.
Para combatir este problema, Google ha introducido medidas de mitigación que incluyen permitir a los usuarios desactivar las conexiones 2G a nivel de módem y desactivar los cifrados nulos. Los cifrados nulos son cruciales para que una estación base falsa inyecte cargas útiles de SMS.
