网络安全研究人员发现了一种名为 BlankBot 的新型 Android 银行木马，该木马针对土耳其用户，旨在窃取财务信息。 Intel 471在上周发表的一份分析报告中表示：“BlankBot具有一系列恶意功能，包括客户注入，键盘记录，屏幕录制，并通过WebSocket连接与控制服务器进行通信。” 据说 BlankBot 于 2024 年 7 月 24 日被发现，正在积极开发中，该恶意软件滥用 Android 的辅助功能服务权限来完全控制受感染的设备。 下面列出了一些包含 BlankBot 的恶意 APK 文件的名称： app-release.apk （com.abcdefg.w568b） app-release.apk （com.abcdef.w568b） 应用程序发布签名 （14）.apk （com.whatsapp.chma14） app.apk （com.whatsapp.chma14p） app.apk （com.whatsapp.w568bp） showcuu.apk （com.whatsapp.w568b） 与最近重新出现的 Mandrake Android 木马一样，BlankBot 实现了基于会话的软件包安装程序，以规避 Android 13 中引入的限制设置功能，阻止侧载应用程序直接请求危险权限。 “该机器人要求受害者允许安装来自第三方的应用程序，然后它检索存储在应用程序资产目录中的未加密安卓软件包（APK）文件，并继续软件包安装过程。”Intel 471 说。 该恶意软件具有多种功能，可执行屏幕录制、键盘记录，并根据从远程服务器接收到的特定命令注入覆盖层，以获取银行账户凭证、支付数据，甚至用于解锁设备的图案。 BlankBot 还能拦截短信、卸载任意应用程序并收集联系人列表和已安装应用程序等数据。它还能进一步利用可访问性服务 API，阻止用户访问设备设置或启动杀毒应用程序。 “BlankBot 是一种仍在开发中的新型 Android 银行木马，在不同应用程序中观察到的多种代码变体就是证明。”这家网络安全公司表示。“无论如何，一旦恶意软件感染了Android设备，它就可以执行恶意操作。” Google发言人告诉The Hacker News，该公司尚未在Google Play商店中找到任何包含该恶意软件的应用程序。 这家科技巨头表示：“Google Play Protect会自动保护Android用户免受此已知版本恶意软件的侵害，该功能在使用Google Play服务的安卓设备上默认开启。“Google Play Protect 会向用户发出警告并阻止包含此恶意软件的应用，即使这些应用的来源在 Play 以外。” Google概述了它正在采取的各种措施，以打击威胁行为者使用Stingrays等蜂窝站点模拟器将短信直接注入Android手机，这种欺诈技术被称为SMS Blaster欺诈。 “这种注入消息的方法完全绕过了运营商网络，从而绕过了所有复杂的基于网络的反垃圾邮件和反欺诈过滤器，”Google表示。“SMS Blasters 暴露了一个虚假的 LTE 或 5G 网络，该网络只执行单一功能：将用户的连接降级到传统的 2G 协议。” 缓解措施包括在调制解调器层面禁用 2G 的用户选项和关闭空密码，后者是虚假基站注入短信有效载荷的必要配置。 今年5月初，Google还表示，如果用户的蜂窝网络连接未加密，或者犯罪分子利用蜂窝站点模拟器窥探用户或向他们发送短信形式的欺诈信息，Google就会向用户发出警报。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，针对安卓系统的银行木马Xenomorph发布第三个版本，攻击力大增，其全新的自动转账系统（ATS）框架可以窃取全球400多家银行的用户账户。更可怕的是，该木马可以绕过包括身份验证器在内的多因素认证方法。 最先进、最危险的木马之一 2022年2月，ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本，累计下载量超过了5万次。 Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击，并滥用可访问性服务权限来执行通知拦截，以窃取一次性口令。 整个2022年，Xenomorph的作者“Hadoken Security”都在持续开发，但新版本的分发量很少。 虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构，更加模块化和灵活，但是“雷声大雨点小”，在野外只有短暂的测试活动。 但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕，该版本比以前的版本更加强大和成熟，能够自动窃取数据，包括凭据、账户余额、执行银行交易和完成资金转账。 “有了这些新功能，Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化，这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。 通过MaaS模式挣钱 ThreatFabric报告称，Hadoken很可能计划通过MaaS（恶意软件即服务）平台向网络犯罪组织出售Xenomorph，并且还推出一个推广新版恶意软件的网站（下图）。   目前，Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发，冒充货币转换器，并在用户安装恶意负载后切换到Play Protect图标。 威胁全球400多家银行 最新版本的Xenomorph针对全球400家金融机构，主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 目标银行的国家分布 数据来源：ThreatFabric Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。 ThreatFabric在其报告（链接在文末）的附录中列出了所有400家目标银行。 此外，Xenomorph还可攻击多达13个加密货币钱包，包括币安、BitPay、KuCoin、Gemini和Coinbase。 自动绕过多因素认证 新版Xenomorph最引人注目的新功能是ATS框架，能为网络犯罪分子自动提取受害者账户凭据，检查账户余额，进行交易以及从目标应用程序中窃取资金，而无需执行远程操作。操作员只需发送JSON脚本，Xenomorph将其转换为操作列表，并在受感染的设备上自主执行操作。 “Xenomorph的ATS执行引擎在竞争中脱颖而出，这主要是因为ATS脚本支持添加大量可编程操作，此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。 Xenomorph的ATS框架最危险也令人印象深刻的功能是：能够记录第三方身份验证应用程序的验证码，从而绕过MFA（多因素身份验证）保护。 Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码  来源：ThreatFabric 如今，全球越来越多的银行开始放弃不安全的短信多因素认证，转而建议客户使用身份验证器程序，但Xenomorph的新版本使得（同一部安卓手机安装的）身份验证器也变得不安全了。 Cookies窃取器 除此之外，新版Xenomorph还包含一个cookie窃取器，可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。 窃取器会启动一个浏览器窗口，其中包含启用了JavaScript界面的合法服务的URL，诱骗受害者输入登录详细信息。 通过窃取用户的cookie，攻击者可以劫持受害者的网络会话并接管他们的账户。 安全建议 虽然进入网络犯罪领域仅一年，但Xenomorph已经成为最危险的新恶意软件之一。 随着第三个版本的发布，Xenomorph对全球安卓手机用户的威胁大增。 除了需要降低对Google Play商店的信任外，安卓用户还需要意识到，基于身份验证器的多因素认证也未必靠谱，在安卓手机上已经可以被恶意软件绕过（建议将身份验证器程序和银行客户端程序安装在不同的设备上）。 最后，建议用户采用“最少可用原则”，手机上运行的应用程序数量尽可能少，并且仅安装值得信赖的供应商的应用程序。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/-atuaDQ7_ueOn6ZgAb2m6Q 封面来源于网络，如有侵权请联系删除