Lernen Sie BlackRock kennen, die Malware, die Passwörter und Kreditkartendaten von Hunderten von Android-Apps stehlen kann

Sie werden nicht überrascht sein, dass sich Malware wie die meisten Dinge in der virtuellen Welt ständig verändert und weiterentwickelt. Hacker hören nicht auf, ihren Schadcode zu verbessern, und manchmal kopieren sie Funktionen und Module von einem oder mehreren Stämmen, fügen einige ihrer eigenen Funktionen hinzu und erstellen brandneue Bedrohungen. Letzte Woche haben Forscher von Threat Fabric BlackRock, einen Neuling in der Android-Bedrohungslandschaft, überprüft und uns gezeigt, wie das alles manchmal funktioniert.

BlackRock - die Ursprünge

BlackRock kann seine Wurzeln auf LokiBot zurückführen, einen einst beliebten Android-Banking-Trojaner, der Ende 2016 erschien. Zunächst führte der Autor von LokiBot eine Malware-as-a-Service-Operation durch und vermietete den Trojaner an andere Hacker, die bereit waren, dafür zu zahlen. Irgendwann wurde der Malware-Ersteller jedoch aus einigen der beliebten Untergrundforen verbannt, und sein Geschäft erlitt infolgedessen einen massiven Schlag. Wahrscheinlich aus diesem Grund wurde kurz darauf der Quellcode von LokiBot durchgesickert.

Bedrohungsschauspieler brauchten keine zweite Einladung. Anfang 2018 veröffentlichten sie MysteryBot - eine verbesserte Version von LokiBot, die auf neueren Android-Geräten besser funktionierte und über erweiterte Funktionen zum Stehlen von Informationen verfügte. Trotz der Upgrades war die Hacking-Community nicht beeindruckt, und einige Monate später entschied sich eine Gruppe von Hackern für einen weiteren Versuch. Sie nahmen MysteryBot, fügten einige neue Funktionen hinzu und veröffentlichten Parasite.

Unglücklicherweise hat sich Parasite nie durchgesetzt, und es ist auch ziemlich schnell in Vergessenheit geraten. Die Hacker hatten jedoch nicht ganz aufgegeben. Im Mai 2019 veröffentlichten sie Xerxes, ein weiteres Upgrade des gleichen Android-Trojaners. In der wahren LokiBot-Tradition wollten die Autoren von Xerxes den Zugriff auf die Malware in den Untergrundforen verkaufen, aber ihre Cyberkriminellen zeigten kein Interesse an dem Trojaner und er wurde später kostenlos veröffentlicht.

Crooks beschloss jedoch, ihm noch eine Chance zu geben. Vor einigen Monaten haben sie Xerxes übernommen, einige neue Funktionen hinzugefügt und es als BlackRock umbenannt.

Eine scheinbar perfekte Kombination aus bewährten Techniken und neuen, erweiterten Funktionen

Laut dem Bericht von Threat Fabric stellt sich BlackRock überwiegend als Google Updates-Anwendung vor und wird zumindest vorerst ausschließlich von Websites und App Stores von Drittanbietern heruntergeladen. Während des Installationsvorgangs wird nach dem Zugriff auf die Accessibility Services von Android gefragt. Durch sie gewährt es sich zusätzliche Berechtigungen und führt den Vorgang des Informationsdiebstahls durch, indem Überlagerungen über andere Apps gezogen werden. Dies ist nicht gerade revolutionär. Viele andere Android-Malware-Familien arbeiten genauso. Die Verwendung von Android-Arbeitsprofilen ist jedoch neu.

Android-Arbeitsprofile können von Unternehmen verwendet werden, um den Zugriff von Mitarbeitern unterwegs zu steuern. Die Autoren von BlackRock haben erkannt, dass sie mit dieser Funktion ein neues Profil mit Administratorrechten erstellen und die vollständige Kontrolle über das Gerät erlangen können.

Dies versetzt sie in die Lage, die Malware anzuweisen, alle Arten von Befehlen auszuführen, die vom Command & Control-Server (C & C) gesendet werden. Dazu gehören Keylogging, Senden und Stehlen von Textnachrichten, Ausführen von Anwendungen, Abrufen und Ausblenden von Push-Benachrichtigungen, Blockieren von Antiviren-Apps usw.

Die Autoren von BlackRock zielen auf mehr als 300 Anwendungen ab

Der Hauptzweck von BlackRock besteht natürlich darin, Benutzerinformationen zu stehlen. Insbesondere wird nach Benutzernamen, Passwörtern und Kreditkartendaten gesucht, und der Mechanismus zum Überfallen der Daten ist ziemlich einfach. Es zeigt an, wann die Benutzer mit einer der Zielanwendungen interagieren möchten, und verwendet die gesammelten Berechtigungen, um ein gefälschtes Anmeldeformular oder eine Checkout-Seite über die legitime App zu zeichnen. Benutzernamen, Passwörter und Kreditkartendaten, die in die gefälschten Formulare eingegeben wurden, werden an C & C gesendet. Die Overlays werden heruntergeladen und auf dem Gerät gespeichert und geben die Zielanwendungen recht gut wieder, was angesichts der Tatsache, dass BlackRock auf LokiBot basiert, nicht wirklich überraschend ist.

Bemerkenswert ist jedoch die enorme Liste von Anwendungen, auf die die Gauner abzielen. Laut Threat Fabric enthält die Zielliste nicht weniger als 337 Apps. Die meisten von ihnen sind mit europäischen Banken verwandt, aber die Forscher stellten fest, dass die Hacker auch hinter den Nutzern einiger sozialer Netzwerke und Lifestyle-Anwendungen her sind. Bei diesen Apps suchen die Hacker eher nach Kreditkartendaten als nach Anmeldeinformationen, und die Experten sind der Ansicht, dass ihre Präsenz auf der Zielliste möglicherweise mit der zunehmenden Nutzung solcher Anwendungen während der COVID-19-Pandemie zu tun hat.

Mit BlackRock werfen die Hacker das Netz wirklich weit und sie glauben anscheinend, dass dies den neuen Trojaner erfolgreicher machen wird als seine Vorgänger. Hoffentlich passiert dies nicht und BlackRock stirbt genauso schnell wie Xerxes, Parasite, MysteryBot und LokiBot.