В июле 2024 года исследователи Intel 471 Malware Intelligence обнаружили новый вредоносный троян BlankBot для устройств на операционной системе Android. Основной целью этого трояна, судя по названию приложений и некоторым строкам, являются турецкие пользователи. BlankBot обладает несколькими вредоносными возможностями, включая инъекции клиентов, кейлоггинг, запись экрана и связь с управляющим сервером через WebSocket-соединение. На момент подготовки отчета большинство образцов BlankBot остается необнаруженным большинством антивирусных программ.
BlankBot
BlankBot использует сервисы доступности для получения полного контроля над зараженными устройствами. Он может записывать всё, что появляется на зараженном устройстве, включая текстовые сообщения, конфиденциальную информацию и список использованных приложений. Также BlankBot выполняет пользовательские инъекции, которые могут использоваться для кражи банковской информации, такой как данные платежных карт и шаблон блокировки устройства. Обмен данными между трояном и контролирующим сервером начинается с запроса "GET" через HTTP-заголовки, а затем используется соединение WebSocket через порт 8080.
Исследователи обнаружили, что BlankBot все еще находится в стадии разработки, так как обнаружены логи и варианты кода. На данном этапе троян наводит подозрение на то, что его основная цель - турецкие пользователи, но конкретных финансовых учреждений не выявлено, поэтому возможно, распространение трояна происходит в разных странах.
BlankBot запрашивает разрешение на доступ к службе доступности после установки и выводит на экран пользователя фальшивый экран обновления. Вредоносная программа автоматически получает все необходимые разрешения в фоновом режиме. Если устройство работает на Android 13 или новее, BlankBot обходит ограничения настройки и устанавливает пакет приложений.
Одна из важных возможностей BlankBot - запись экрана. Он использует API Android MediaProjection и MediaRecorder для захвата видео и изображений с экрана устройства. Записанный контент сохраняется во внутреннем хранилище приложения в формате MP4 для видео и JPEG для изображений, а затем отправляется на удаленный сервер.
В целом, BlankBot представляет серьезную угрозу для пользователей Android, особенно для тех, кто находится в Турции. Это вредоносное приложение обладает разнообразными возможностями, которые позволяют злоумышленникам получать доступ к чувствительной информации и контролировать зараженные устройства.
Indicators of Compromise
IPv4
- 185.255.92.185
- 79.133.41.52
SHA256
- 11751c6aa3e5c44c92765876bc9cd46da90f466b9924b9b1993fa1c91157681d
- 6681b0613fc6d5a3e1132f7499380eb9db52b03ab429f0c2109a641c9a2ea4d3
- 6fc672288e68146930b86c7a3d490f551c8d7a7e8ba3229d64a6280118095bea
- 7d5b6bcc9b93aedc540e76059ee27841a96acb9ea74a51545dfef18b0fcf5b57
- 8d6ca64e4c3c19587405e19d53d0e2f4d52b77f927621d4178a3f7c2bf50c2ea
- ad9044d9762453e2813be8ab96b9011efb2f42ab72a0cb26d7f98b9bd1d65965
- b4b4b195e14e9fda5a6d890ddb57f93ef81d6d9a976078354450ee45d18c89e3
- d163cc15a39fb36391bd67f6eaada6691f0c7bc75fc80282a4a258244163e12a
- fc5099e5be818f8268327aaf190cd07b4b4ebb04e9d63eefa5a04ea504f93d62
