BlankBot バンキング型トロイの木馬

サイバーセキュリティ研究者は、トルコのユーザーを標的にして金融情報を盗む、BlankBot という新しい Android バンキング型トロイの木馬を発見しました。BlankBot は、顧客インジェクション、キーロギング、画面録画など、さまざまな脅威機能を備えています。WebSocket 接続を介して制御サーバーと通信します。

2024 年 7 月に初めて特定された BlankBot は、現在も活発に開発中であると報告されています。このマルウェアは、Android のアクセシビリティ サービスの権限を悪用して、感染したデバイスを完全に制御します。

BlankBot は偽のアプリケーションを介して拡散

BlankBot を含む破損した APK ファイルには、 com.abcdefg.w568bやcom.abcdef.w568bなどのパッケージ識別子を持つ app-release.apk という名前のバリエーションや、 com.whatsapp.chma14というラベルの付いた app-release-signed (14).apk が含まれています。さらに、 com.whatsapp.chma14p 、 com.whatsapp.w568bp 、 com.whatsapp.w568bなどの識別子を持つ app.apk という名前のファイルもあります。

最近再浮上した Android トロイの木馬 Mandrake と同様に、BlankBot はセッションベースのパッケージ インストーラーを使用して、サイドロードされたアプリケーションが直接安全でない権限を要求することを防ぐ Android 13 で導入された制限設定機能を回避します。BlankBot は、被害者にサードパーティ ソースからのアプリケーションのインストールを許可するように求め、アプリケーション アセット ディレクトリに保存されている APK ファイルを暗号化せずに取得し、インストール プロセスを続行します。

バンキング型トロイの木馬 BlankBot の脅威的な機能

このマルウェアは、画面録画、キーロギング、リモート サーバーからの特定のコマンドによってトリガーされるオーバーレイ インジェクションなど、幅広い機能を備えています。主な目的は、銀行口座の認証情報、支払い情報、さらにはデバイスのロック解除パターンを取得することです。

これらの機能に加えて、BlankBot は SMS メッセージを傍受し、任意のアプリケーションをアンインストールし、連絡先リストやインストール済みアプリケーションなどのデータを収集することができます。また、アクセシビリティ サービス API を悪用して、ユーザーがデバイス設定にアクセスしたり、マルウェア対策ソフトウェアを起動したりすることをブロックします。

BlankBot はまだ開発中の新しい Android バンキング型トロイの木馬ですが、さまざまなアプリケーションで見られるさまざまなコード バリアントからわかるように、Android デバイスに感染すると、すでに有害なアクションを実行する機能を備えています。

Google、Androidユーザーを保護するための追加対策を実施

Google は、Stingray などのセルサイト シミュレーターを使用して Android スマートフォンに直接 SMS メッセージを挿入する行為に対処するために実施している対策の詳細を発表しました。SMS Blaster 詐欺と呼ばれるこの詐欺手法は、偽の LTE または 5G ネットワークを作成し、ユーザーの接続を従来の 2G プロトコルに戻すことで、キャリア ネットワークとその高度なスパム対策および詐欺対策フィルターを回避します。

この問題に対処するため、Google は、ユーザーがモデム レベルで 2G 接続を無効にし、ヌル暗号をオフにできるようにするなどの緩和策を導入しました。ヌル暗号は、偽の基地局が SMS ペイロードを挿入するために不可欠です。