Android BlankBot 银行木马可能会收集你的个人数据

网络安全研究人员发现了一种名为 BlankBot 的 Android 银行木马病毒，这是一种新的威胁。该恶意软件针对的是土耳其用户，旨在通过各种复杂的方法窃取财务信息。

BlankBot 功能

BlankBot 拥有一系列有害功能。根据 Intel 471 上周发布的分析，这些功能包括：

• 客户注入：诱骗用户输入敏感信息的欺骗性覆盖。
• 键盘记录：捕获设备上输入的所有内容。
• 屏幕录制：监控和记录用户活动。
• 控制服务器通信：使用 WebSocket 连接与远程控制服务器通信。

BlankBot 于 2024 年 7 月 24 日被发现，目前仍在积极开发中。该恶意软件利用 Android 的辅助功能服务权限来完全控制受感染的设备。已确定包含 BlankBot 的一些 APK 文件包括：

• 应用程序发布.apk (com.abcdefg.w568b)
• 应用程序发布.apk (com.abcdef.w568b)
• 应用程序发布签名（14）。apk（com.whatsapp.chma14）
• 应用程序.apk (com.whatsapp.chma14p)
• 应用程序.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

BlankBot 的运作方式

与 Mandrake Android 木马类似，BlankBot 使用基于会话的软件包安装程序来绕过 Android 13 的安全措施，这些措施可防止侧载应用直接请求危险权限。该恶意软件会提示受害者允许从第三方来源进行安装，检索存储在应用程序资产目录中的 APK 文件，然后在不加密的情况下继续安装。

一旦安装，BlankBot 就会执行各种恶意操作，包括：

• 屏幕录制和键盘记录：捕获敏感信息。
• 注入覆盖：基于来自远程服务器的特定命令来窃取银行凭证和支付数据。
• 拦截短信：获取认证码和其他关键信息。
• 卸载应用程序：删除安全应用程序和其他软件。
• 收集数据：收集联系人列表、已安装的应用程序和其他个人数据。
• 防止访问：使用辅助功能服务 API 来阻止访问设备设置和防病毒应用程序。

谷歌的应对和保护措施

Google 已声明，Google Play 商店中未发现任何包含 BlankBot 的应用。Android 用户可通过 Google Play Protect 自动防御已知版本的该恶意软件，该功能在安装 Google Play 服务的设备上默认启用。此保护功能会警告用户并阻止包含该恶意软件的应用，即使是来自 Play 之外的来源的应用。

为了应对更广泛的威胁，包括绕过运营商网络保护的 SMS Blaster 欺诈技术所带来的威胁，Google 推出了多项缓解措施。这些措施包括在调制解调器级别禁用 2G 和关闭空密码，这对于此类攻击中使用的假基站的运行至关重要。此外，Google 还通过提醒用户注意未加密的网络连接和使用基站模拟器进行窥探或短信欺诈来加强蜂窝安全性。

BlankBot 的发现凸显了 Android 恶意软件的不断演变以及采取谨慎安全措施的必要性。随着该木马的不断发展，用户必须及时了解情况并利用 Google Play Protect 等内置安全功能。通过保持谨慎和警觉，用户可以帮助保护他们的设备和个人信息免受新兴威胁的侵害。