В июле 2024 года специалисты Intel 471 Malware Intelligence выявили новый вредоносный троян под названием BlankBot, нацеленный на устройства под управлением операционной системы Android. По данным исследователей, основными жертвами злоумышленников могут стать пользователи из Турции, однако угроза распространяется и на другие страны. BlankBot обладает широким набором вредоносных функций, включая кейлоггинг, запись экрана, инъекции в банковские приложения и удаленное управление через WebSocket-соединение. На момент обнаружения большинство антивирусных программ не идентифицировали этот троян, что делает его особенно опасным.
Описание
BlankBot использует сервисы доступности Android для получения полного контроля над зараженными устройствами. После установки вредоносное приложение запрашивает разрешения, маскируясь под легитимное обновление, а затем автоматически активирует все необходимые функции в фоновом режиме. Если устройство работает на Android 13 или новее, троян обходит системные ограничения, устанавливая дополнительные пакеты приложений без ведома пользователя.
Одной из ключевых возможностей BlankBot является запись экрана. Вредоносная программа использует API Android MediaProjection и MediaRecorder для захвата видео и скриншотов, сохраняя данные во внутреннем хранилище в форматах MP4 и JPEG. Впоследствии эта информация передается на удаленный сервер злоумышленников. Кроме того, троян способен перехватывать текстовые сообщения, логины и пароли, а также данные банковских карт, что делает его инструментом для масштабных финансовых мошенничеств.
Связь между BlankBot и командным сервером осуществляется через HTTP-запросы с последующим переходом на WebSocket-соединение через порт 8080. Это позволяет злоумышленникам удаленно управлять зараженными устройствами, выполняя произвольные команды и загружая дополнительные модули. Исследователи отмечают, что троян все еще находится в стадии активной разработки, о чем свидетельствуют обнаруженные логи и фрагменты кода.
Хотя основная цель BlankBot пока неясна, аналитики предполагают, что злоумышленники могут нацеливаться на банковские приложения и системы онлайн-платежей. Отсутствие конкретных указаний на финансовые учреждения в коде трояна говорит о том, что он может использоваться в разных регионах, адаптируясь под локальные цели.
Пользователям Android рекомендуется соблюдать повышенную осторожность при установке приложений из ненадежных источников, регулярно обновлять операционную систему и использовать надежные антивирусные решения. В случае подозрения на заражение BlankBot следует немедленно проверить устройство с помощью специализированных средств защиты и при необходимости выполнить сброс настроек до заводских.
BlankBot представляет серьезную угрозу для конфиденциальности и безопасности данных, демонстрируя, насколько изощренными становятся современные киберугрозы. Владельцам мобильных устройств важно оставаться бдительными и принимать меры для защиты от подобных атак.
Индикаторы компрометации
IPv4
- 185.255.92.185
- 79.133.41.52
SHA256
- 11751c6aa3e5c44c92765876bc9cd46da90f466b9924b9b1993fa1c91157681d
- 6681b0613fc6d5a3e1132f7499380eb9db52b03ab429f0c2109a641c9a2ea4d3
- 6fc672288e68146930b86c7a3d490f551c8d7a7e8ba3229d64a6280118095bea
- 7d5b6bcc9b93aedc540e76059ee27841a96acb9ea74a51545dfef18b0fcf5b57
- 8d6ca64e4c3c19587405e19d53d0e2f4d52b77f927621d4178a3f7c2bf50c2ea
- ad9044d9762453e2813be8ab96b9011efb2f42ab72a0cb26d7f98b9bd1d65965
- b4b4b195e14e9fda5a6d890ddb57f93ef81d6d9a976078354450ee45d18c89e3
- d163cc15a39fb36391bd67f6eaada6691f0c7bc75fc80282a4a258244163e12a
- fc5099e5be818f8268327aaf190cd07b4b4ebb04e9d63eefa5a04ea504f93d62
