05 de agosto de 2024Ravie LakshmananSeguridad móvil / Seguridad financiera Los investigadores de ciberseguridad han descubierto un nuevo troyano bancario para Android llamado BlankBot que apunta a los usuarios turcos con el objetivo de robar información financiera. «BlankBot presenta una variedad de capacidades maliciosas, que incluyen inyecciones de clientes, registro de teclas, grabación de pantalla y se comunica con un servidor de control a través de una conexión WebSocket», dijo Intel 471 en un análisis publicado la semana pasada. Descubierto el 24 de julio de 2024, se dice que BlankBot está en desarrollo activo, y el malware abusa de los permisos de los servicios de accesibilidad de Android para obtener control total sobre los dispositivos infectados. Los nombres de algunos de los archivos APK maliciosos que contienen BlankBot se enumeran a continuación: app-release.apk (com.abcdefg.w568b) app-release.apk (com.abcdef.w568b) app-release-signed (14).apk (com.whatsapp.chma14) app.apk (com.whatsapp.chma14p) app.apk (com.whatsapp.w568bp) showcuu.apk (com.whatsapp.w568b) Al igual que el troyano Mandrake para Android recientemente resurgido, BlankBot implementa un instalador de paquetes basado en sesiones para eludir la función de configuración restringida introducida en Android 13 para bloquear las aplicaciones cargadas lateralmente para que no soliciten directamente permisos peligrosos. «El bot le pide a la víctima que permita la instalación de aplicaciones de fuentes de terceros, luego recupera el archivo del kit de paquetes de Android (APK) almacenado dentro del directorio de activos de la aplicación sin cifrado y continúa con el proceso de instalación del paquete», dijo Intel 471. El malware viene con una amplia gama de funciones para realizar grabaciones de pantalla, registro de teclas e inyectar superposiciones basadas en comandos específicos recibidos de un servidor remoto para recopilar credenciales de cuentas bancarias, datos de pago e incluso el patrón utilizado para desbloquear el dispositivo. BlankBot también es capaz de interceptar mensajes SMS, desinstalar aplicaciones arbitrarias y recopilar datos como listas de contactos y aplicaciones instaladas. Además, hace uso de la API de servicios de accesibilidad para evitar que el usuario acceda a la configuración del dispositivo o inicie aplicaciones antivirus. «BlankBot es un nuevo troyano bancario para Android que aún se encuentra en desarrollo, como lo demuestran las múltiples variantes de código observadas en diferentes aplicaciones», dijo la compañía de ciberseguridad. «Independientemente, el malware puede realizar acciones maliciosas una vez que infecta un dispositivo Android». La revelación se produce cuando Google describió los diversos pasos que está tomando para combatir el uso por parte de los actores de amenazas de simuladores de sitios celulares como Stingrays para inyectar mensajes SMS directamente en teléfonos Android, una técnica de fraude conocida como fraude SMS Blaster. «Este método para inyectar mensajes pasa por alto por completo la red del operador, por lo que pasa por alto todos los sofisticados filtros antispam y antifraude basados ​​en la red», dijo Google. «Los SMS Blasters exponen una red LTE o 5G falsa que ejecuta una sola función: degradar la conexión del usuario a un protocolo 2G heredado». Las medidas de mitigación incluyen una opción para el usuario para desactivar 2G a nivel de módem y desactivar los cifrados nulos, lo último de los cuales es una configuración esencial para una estación base falsa para inyectar una carga útil de SMS. A principios de mayo, Google también dijo que está mejorando la seguridad celular al alertar a los usuarios si su conexión de red celular no está cifrada y si los delincuentes están utilizando simuladores de sitios celulares para espiar a los usuarios o enviarles mensajes fraudulentos basados ​​en SMS. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.