Mød BlackRock, det malware, der kan stjæle adgangskoder og kreditkortdata fra hundreder af Android-apps

Du er måske ikke overrasket over, at malware, ligesom de fleste ting i den virtuelle verden, konstant morfonerer og udvikler sig. Hackere holder ikke op med at forbedre deres ondsindede kode, og nogle gange kopierer de funktioner og moduler fra en eller flere stammer, tilføjer noget af deres egen funktionalitet og skaber helt nye trusler. I sidste uge gennemgik forskere fra Threat Fabric BlackRock, en nykommer i Android-trussellandskabet, og viste os, hvordan det hele fungerer nogle gange.

BlackRock - oprindelsen

BlackRock kan spore sine rødder tilbage til LokiBot, en gang populær Android bank-trojan, der dukkede op i slutningen af 2016. Oprindeligt kørte LokiBots forfatter en malware-as-a-service-operation og lejede trojanen til andre hackere, der var villige til at betale for det. På et tidspunkt blev malware-skaberen imidlertid forbudt fra nogle af de populære underjordiske fora, og deres forretning led et massivt slag som et resultat. Sandsynligvis på grund af dette, kort derefter derefter, blev LokiBots kildekode lækket.

Trusselsskuespillere havde ikke brug for en anden invitation. I begyndelsen af 2018 frigav de MysteryBot - en forbedret version af LokiBot, der fungerede bedre på nyere Android-enheder og havde mere avancerede kapaciteter til at stjæle information. På trods af opgraderingerne var hacking-samfundet ikke imponeret, og et par måneder senere besluttede en gruppe af hackere at tage en anden tur. De tog MysteryBot, tilføjede nogle nye funktioner og frigav Parasite.

Desværre for dem blev Parasite aldrig fanget, og den forblev også til uklarhed temmelig hurtigt. Hackerne havde dog ikke givet helt op. I maj 2019 frigav de Xerxes, en anden opgradering af den samme Android trojan. I sand LokiBot-tradition ønskede Xerxes 'forfattere at sælge adgang til malware på de underjordiske fora, men deres med-cyberkriminelle viste ingen interesse for trojanen, og den blev senere frigivet gratis.

Crooks besluttede imidlertid at give det endnu en chance. For et par måneder siden tog de Xerxes, tilføjede et par nye funktioner og re-branded det som BlackRock.

En tilsyneladende perfekt kombination af afprøvede teknikker og nye, avancerede funktioner

I henhold til Threat Fabric's rapport poserer BlackRock overvejende som en Google Updates-applikation og downloades i det mindste udelukkende fra tredjepartswebsteder og app-butikker. Under installationsprocessen beder den om adgang til Android's Accessibility Services. Gennem dem tildeler den sig yderligere privilegier og udfører informationstjæleoperationen ved at tegne overlays over andre apps. Dette må siges, er ikke nøjagtigt revolutionerende. Masser af andre Android malware-familier fungerer på nøjagtig samme måde. Brugen af Android Work-profiler er imidlertid ny.

Android Work-profiler kan bruges af virksomheder til at kontrollere medarbejdernes adgang, mens de er på farten. BlackRocks forfattere har indset, at de via funktionen kan oprette en ny profil med administrative privilegier og få fuld kontrol over enheden.

Dette sætter dem i stand til at instruere malware til at udføre alle slags kommandoer sendt af Command & Control-serveren (C&C). Disse inkluderer keylogging, sender og stjæler tekstbeskeder, kører applikationer, henter og skjuler push-meddelelser, blokerer antivirus-apps osv.

BlackRocks forfattere er målrettet mod mere end 300 applikationer

Naturligvis er BlackRocks hovedformål at stjæle brugerinformation. Mere specifikt er det efter brugernavne, adgangskoder og kreditkortoplysninger, og dets mekanisme til at udlevere dataene er ret enkel. Det ser, når brugerne er ved at interagere med en af de målrettede applikationer, og den bruger de tilladelser, den har samlet for at tegne en falsk login-formular eller kasseside over den legitime app. Brugernavne, adgangskoder og kreditkortoplysninger, der er indtastet i de falske formularer, sendes til C&C. Overlejringerne downloades og gemmes på enheden, og de udgir sig for de målrettede applikationer temmelig godt, hvilket ikke er virkelig overraskende i betragtning af, at BlackRock er baseret på LokiBot.

Det bemærkelsesværdige er imidlertid den enorme liste over applikationer, som skurkerne er målrettet mod. Ifølge Threat Fabric indeholder mållisten ikke mindre end 337 apps. De fleste af dem er relateret til europæiske banker, men forskerne bemærkede, at hackerne også er efter brugerne af nogle sociale netværk og livsstilsapplikationer. Med disse apps er hackerne efter kreditkortdata snarere end loginoplysninger, og eksperterne mener, at deres tilstedeværelse på mållisten kan have noget at gøre med folks øgede brug af sådanne applikationer under COVID-19-pandemien.

Med BlackRock kaster hackerne virkelig nettet bredt, og de synes tilsyneladende, at dette vil gøre den nye trojan mere succesrig end dens forgængere. Forhåbentlig sker dette ikke, og BlackRock dør lige så hurtigt som Xerxes, Parasite, MysteryBot og LokiBot.