investigadores de ciberseguridad han descubierto un nuevo troyano bancario para Android llamado BlankBot que ataca a los usuarios turcos con el objetivo de robar información financiera.

«BlankBot presenta una variedad de capacidades maliciosas, que incluyen inyecciones de clientes, registro de teclas, grabación de pantalla y se comunica con un servidor de control a través de una conexión WebSocket», dijo Intel 471 en un análisis publicado la semana pasada.

Se dice que BlankBot, descubierto el 24 de julio de 2024, está en desarrollo activo y que el malware abusa de los permisos de los servicios de accesibilidad de Android para obtener control total sobre los dispositivos infectados.

A continuación, se enumeran los nombres de algunos de los archivos APK maliciosos que contienen BlankBot:

app-release.apk (com.abcdefg.w568b)

app-release.apk (com.abcdef.w568b)

app-release-signed (14).apk (com.whatsapp.chma14)

app.apk (com.whatsapp.chma14p)

app.apk (com.whatsapp.w568bp)

showcuu.apk (com.whatsapp.w568b)

Al igual que el troyano Mandrake para Android, que ha resurgido recientemente, BlankBot implementa un instalador de paquetes basado en sesiones para eludir la función de configuración restringida introducida en Android 13 para impedir que las aplicaciones descargadas soliciten directamente permisos peligrosos.

El malware viene con una amplia gama de funciones para realizar grabaciones de pantalla, registro de teclas e inyectar superposiciones basadas en comandos específicos recibidos de un servidor remoto para recopilar credenciales de cuentas bancarias, datos de pago e incluso el patrón utilizado para desbloquear el dispositivo.

BlankBot también es capaz de interceptar mensajes SMS, desinstalar aplicaciones arbitrarias y recopilar datos como listas de contactos y aplicaciones instaladas. Además, hace uso de la API de servicios de accesibilidad para evitar que el usuario acceda a la configuración del dispositivo o inicie aplicaciones antivirus.

«BlankBot es un nuevo troyano bancario para Android que aún se encuentra en desarrollo, como lo demuestran las múltiples variantes de código observadas en diferentes aplicaciones», dijo la empresa de ciberseguridad. «Independientemente, el malware puede realizar acciones maliciosas una vez que infecta un dispositivo Android».

La revelación se produce cuando Google describió los diversos pasos que está tomando para combatir el uso de simuladores de sitios celulares como Stingrays por parte de los actores de amenazas para inyectar mensajes SMS directamente en los teléfonos Android, una técnica de fraude conocida como fraude SMS Blaster.

Las medidas de mitigación incluyen una opción para que el usuario desactive el 2G a nivel de módem y desactive los cifrados nulos, lo que es una configuración esencial para una estación base falsa con el fin de inyectar una carga útil de SMS.