Siber Muhbir

Intel 471, geçen hafta yayınlanan bir analizde, "BlankBot, müşteri enjeksiyonları, tuş kaydı, ekran kaydı gibi bir dizi kötü amaçlı yeteneğe sahiptir ve bir WebSocket bağlantısı üzerinden bir kontrol sunucusuyla iletişim kurar" dedi.

24 Temmuz 2024'te keşfedilen BlankBot'un, virüslü cihazlar üzerinde tam kontrol elde etmek için Android'in erişilebilirlik hizmetleri izinlerini kötüye kullanan kötü amaçlı yazılımla aktif olarak geliştirilmekte olduğu söyleniyor.

BlankBot içeren bazı kötü amaçlı APK dosyalarının adları aşağıda listelenmiştir -

• app-release.apk (com.abcdefg.w568b)
• app-release.apk (com.abcdef.w568b)
• uygulama sürümü imzalı (14).apk (com.whatsapp.chma14)
• app.apk (com.whatsapp.chma14p)
• app.apk (com.whatsapp.w568bp)
• showcuu.apk (com.whatsapp.w568b)

Yakın zamanda yeniden ortaya çıkan Mandrake Android truva atı gibi, BlankBot da yandan yüklenen uygulamaların doğrudan tehlikeli izinler talep etmesini engellemek için Android 13'te tanıtılan kısıtlı ayarlar özelliğini atlatmak için oturum tabanlı bir paket yükleyici uygular.

Intel 471, "Bot, kurbandan üçüncü taraf kaynaklardan uygulama yüklemesine izin vermesini ister, ardından uygulama varlıkları dizininde depolanan Android paket kiti (APK) dosyasını şifreleme olmadan alır ve paket yükleme işlemine devam eder" dedi.

Kötü amaçlı yazılım, banka hesabı kimlik bilgilerini, ödeme verilerini ve hatta cihazın kilidini açmak için kullanılan deseni toplamak için uzak bir sunucudan alınan belirli komutlara dayalı olarak ekran kaydı, keylogging ve bindirmeler enjekte etmek için çok çeşitli özelliklerle birlikte gelir.

BlankBot ayrıca SMS mesajlarını ele geçirme, rastgele uygulamaları kaldırma ve kişi listeleri ve yüklü uygulamalar gibi verileri toplama yeteneğine de sahiptir. Ayrıca, kullanıcının cihaz ayarlarına erişmesini veya virüsten koruma uygulamalarını başlatmasını önlemek için erişilebilirlik hizmetleri API'sini kullanır.

Siber güvenlik şirketi, "BlankBot, farklı uygulamalarda gözlemlenen çoklu kod varyantlarının kanıtladığı gibi, hala geliştirilmekte olan yeni bir Android bankacılık truva atıdır" dedi. "Ne olursa olsun, kötü amaçlı yazılım bir Android cihaza bulaştıktan sonra kötü amaçlı eylemler gerçekleştirebilir."

Bir Google sözcüsü'nün yaptığı açıklamada, şirketin Google Play Store'da kötü amaçlı yazılım içeren herhangi bir uygulama bulamadığını söyledi.

Teknoloji devi, "Android kullanıcıları, Google Play Hizmetleri'ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor" dedi. "Google Play Protect, kullanıcıları uyarır ve bu kötü amaçlı yazılımı içeren uygulamaları, bu uygulamalar Play dışındaki kaynaklardan gelse bile engeller."

Açıklama, Google'ın tehdit aktörlerinin SMS mesajlarını doğrudan Android telefonlara enjekte etmek için Stingrays gibi hücre sitesi simülatörlerini kullanmalarıyla mücadele etmek için attığı çeşitli adımları ana hatlarıyla belirtirken, SMS Blaster dolandırıcılığı olarak adlandırılan bir dolandırıcılık tekniği olarak geldi.

Google, "Mesajları enjekte etmek için kullanılan bu yöntem, taşıyıcı ağı tamamen atlıyor, böylece tüm karmaşık ağ tabanlı anti-spam ve dolandırıcılık önleme filtrelerini atlıyor" dedi. "SMS Blaster'lar, tek bir işlevi yerine getiren sahte bir LTE veya 5G ağını ortaya çıkarır: kullanıcının bağlantısını eski bir 2G protokolüne düşürmek."

Azaltma önlemleri, modem düzeyinde 2G'yi devre dışı bırakmak ve boş şifreleri kapatmak için bir kullanıcı seçeneğini içerir, ikincisi bir SMS yükü enjekte etmek için bir Yanlış Baz İstasyonu için önemli bir yapılandırmadır.

Bu Mayıs ayının başlarında Google, hücresel ağ bağlantılarının şifrelenmemiş olup olmadığını ve suçluların kullanıcıları gözetlemek veya onlara SMS tabanlı dolandırıcılık mesajları göndermek için hücre sitesi simülatörleri kullanıp kullanmadığını uyararak hücresel güvenliği artırdığını da söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.