Pesquisadores de cibersegurança descobriram um novo trojan bancário para Android chamado BlankBot, que está direcionado a usuários turcos com o objetivo de roubar informações financeiras. BlankBot possui uma gama de capacidades maliciosas, incluindo injeções de cliente, registro de teclas, gravação de tela e comunicação com um servidor de controle via conexão WebSocket. Descoberto em 24 de julho de 2024, o BlankBot está em desenvolvimento ativo, utilizando as permissões dos serviços de acessibilidade do Android para obter controle total sobre os dispositivos infectados.

Semelhante ao trojan Mandrake que recentemente voltou à ativa, o BlankBot implementa um instalador de pacotes baseado em sessão para contornar a funcionalidade de configurações restritas introduzida no Android 13, que impede que aplicativos carregados lateralmente solicitem permissões perigosas diretamente. O bot solicita que a vítima permita a instalação de aplicativos de fontes de terceiros; depois disso, ele recupera o arquivo de instalação APK armazenado dentro do diretório de ativos do aplicativo sem criptografia e prossegue com o processo de instalação do pacote.

O BlankBot também é capaz de interceptar mensagens SMS, desinstalar aplicativos arbitrários e coletar dados como listas de contatos e aplicativos instalados. Ele ainda usa a API de serviços de acessibilidade para impedir que o usuário acesse as configurações do dispositivo ou inicie aplicativos antivírus.