Γνωρίστε το BlackRock, το κακόβουλο λογισμικό που μπορεί να κλέψει κωδικούς πρόσβασης και δεδομένα πιστωτικών καρτών από εκατοντάδες εφαρμογές Android

Μπορεί να μην εκπλαγείτε ότι, όπως τα περισσότερα πράγματα στον εικονικό κόσμο, το κακόβουλο λογισμικό συνεχώς μεταμορφώνεται και εξελίσσεται. Οι χάκερ δεν σταματούν να βελτιώνουν τον κακόβουλο κώδικα τους και μερικές φορές αντιγράφουν λειτουργίες και λειτουργικές μονάδες από ένα ή περισσότερα στελέχη, προσθέτουν μερικές από τις δικές τους λειτουργίες και δημιουργούν ολοκαίνουργιες απειλές. Την περασμένη εβδομάδα, ερευνητές από το Threat Fabric εξέτασαν το BlackRock, ένα νέο άτομο στο τοπίο απειλών του Android και μας έδειξαν πώς όλα λειτουργούν μερικές φορές.

BlackRock - η προέλευση

Το BlackRock μπορεί να εντοπίσει τις ρίζες του πίσω στο LokiBot, ένα κάποτε δημοφιλές trojan Android banking που εμφανίστηκε στα τέλη του 2016. Αρχικά, ο συγγραφέας του LokiBot έτρεξε μια λειτουργία κακόβουλου λογισμικού ως υπηρεσία, και ενοικίασε το trojan σε άλλους χάκερ που ήταν πρόθυμοι να πληρώσουν για αυτό. Σε ένα σημείο, ωστόσο, ο δημιουργός του κακόβουλου προγράμματος απαγορεύτηκε από μερικά από τα δημοφιλή υπόγεια φόρουμ και ως αποτέλεσμα η επιχείρησή τους υπέστη τεράστιο πλήγμα. Ίσως εξαιτίας αυτού, λίγο μετά, ο πηγαίος κώδικας του LokiBot διέρρευσε.

Οι ηθοποιοί απειλής δεν χρειάστηκαν μια δεύτερη πρόσκληση. Στις αρχές του 2018, κυκλοφόρησαν το MysteryBot - μια βελτιωμένη έκδοση του LokiBot που λειτούργησε καλύτερα σε νεότερες συσκευές Android και είχε πιο προηγμένες δυνατότητες κλοπής πληροφοριών. Παρά τις αναβαθμίσεις, η κοινότητα πειρατείας δεν εντυπωσιάστηκε και λίγους μήνες αργότερα, μια ομάδα χάκερ αποφάσισε να κάνει μια άλλη προσπάθεια. Πήραν το MysteryBot, πρόσθεσαν μερικά νέα χαρακτηριστικά και κυκλοφόρησαν το Parasite.

Δυστυχώς για αυτούς, το Parasite δεν έπιασε ποτέ, και πολύ ξεθωριάστηκε σε αφάνεια αρκετά γρήγορα. Ωστόσο, οι χάκερ δεν τα παρατήρησαν εντελώς. Τον Μάιο του 2019, κυκλοφόρησαν το Xerxes, μια άλλη αναβάθμιση του ίδιου trojan Android. Στην αληθινή παράδοση LokiBot, οι συγγραφείς του Xerxes ήθελαν να πουλήσουν πρόσβαση στο κακόβουλο λογισμικό στα υπόγεια φόρουμ, αλλά οι συνάδελφοί τους εγκληματίες στον κυβερνοχώρο δεν έδειξαν ενδιαφέρον για το trojan και αργότερα κυκλοφόρησε δωρεάν.

Οι απατεώνες αποφάσισαν να του δώσουν άλλη μια ευκαιρία, ωστόσο. Πριν από λίγους μήνες, πήραν το Xerxes, πρόσθεσαν μερικά νέα χαρακτηριστικά και το επανέβαλαν ως BlackRock.

Ένας φαινομενικά τέλειος συνδυασμός δοκιμασμένων και δοκιμασμένων τεχνικών και νέων, προηγμένων χαρακτηριστικών

Σύμφωνα με την έκθεση της Threat Fabric, το BlackRock παρουσιάζεται κυρίως ως εφαρμογή Google Updates και, προς το παρόν, τουλάχιστον, πραγματοποιείται λήψη αποκλειστικά από ιστότοπους και καταστήματα εφαρμογών τρίτων. Κατά τη διαδικασία εγκατάστασης, ζητά πρόσβαση στις Υπηρεσίες προσβασιμότητας του Android. Μέσω αυτών, παραχωρεί πρόσθετα προνόμια και διεξάγει τη λειτουργία κλοπής πληροφοριών αντλώντας επικαλύψεις έναντι άλλων εφαρμογών. Αυτό, πρέπει να ειπωθεί, δεν είναι ακριβώς επαναστατικό. Πολλές άλλες οικογένειες κακόβουλου λογισμικού Android λειτουργούν με τον ίδιο ακριβώς τρόπο. Η χρήση των Προφίλ εργασίας Android, ωστόσο, είναι νέα.

Τα Προφίλ εργασίας Android μπορούν να χρησιμοποιηθούν από εταιρείες για τον έλεγχο της πρόσβασης των εργαζομένων ενώ βρίσκονται εν κινήσει. Οι συγγραφείς της BlackRock συνειδητοποίησαν ότι μέσω της δυνατότητας, μπορούν να δημιουργήσουν ένα νέο προφίλ με δικαιώματα διαχειριστή και να αποκτήσουν πλήρη έλεγχο της συσκευής.

Αυτό τους δίνει τη δυνατότητα να καθοδηγήσει το κακόβουλο λογισμικό να εκτελεί κάθε είδους εντολές που αποστέλλονται από τον διακομιστή Command & Control (C&C). Σε αυτά περιλαμβάνονται το πληκτρολόγιο, η αποστολή και η κλοπή μηνυμάτων κειμένου, η εκτέλεση εφαρμογών, η ανάκτηση και η απόκρυψη ειδοποιήσεων push, ο αποκλεισμός εφαρμογών προστασίας από ιούς κ.λπ.

Οι συγγραφείς του BlackRock στοχεύουν περισσότερες από 300 εφαρμογές

Φυσικά, ο κύριος σκοπός του BlackRock είναι να κλέψει πληροφορίες χρήστη. Πιο συγκεκριμένα, είναι μετά από ονόματα χρηστών, κωδικούς πρόσβασης και στοιχεία πιστωτικής κάρτας και ο μηχανισμός του για τη συλλογή δεδομένων είναι πολύ απλός. Βλέπει πότε οι χρήστες πρόκειται να αλληλεπιδράσουν με μία από τις στοχευμένες εφαρμογές και χρησιμοποιεί τα δικαιώματα που έχει συγκεντρώσει για να σχεδιάσει μια ψεύτικη φόρμα σύνδεσης ή μια σελίδα πληρωμής μέσω της νόμιμης εφαρμογής. Τα ονόματα χρήστη, οι κωδικοί πρόσβασης και τα στοιχεία της πιστωτικής κάρτας που έχουν εισαχθεί στα πλαστά έντυπα αποστέλλονται στους C&C. Οι επικαλύψεις κατεβάζονται και αποθηκεύονται στη συσκευή και πλαστοπροσωπούν τις στοχευμένες εφαρμογές αρκετά καλά, κάτι που δεν προκαλεί έκπληξη δεδομένου ότι το BlackRock βασίζεται στο LokiBot.

Αυτό που είναι αξιοσημείωτο, ωστόσο, είναι η τεράστια λίστα εφαρμογών που στοχεύουν οι απατεώνες. Σύμφωνα με το Threat Fabric, η λίστα στόχων δεν περιέχει λιγότερες από 337 εφαρμογές. Τα περισσότερα από αυτά σχετίζονται με ευρωπαϊκές τράπεζες, αλλά οι ερευνητές σημείωσαν ότι οι χάκερ ακολουθούν επίσης τους χρήστες ορισμένων κοινωνικών δικτύων και εφαρμογών τρόπου ζωής. Με αυτές τις εφαρμογές, οι χάκερ αναζητούν δεδομένα πιστωτικών καρτών αντί για διαπιστευτήρια σύνδεσης και οι ειδικοί πιστεύουν ότι η παρουσία τους στη λίστα στόχων μπορεί να έχει σχέση με την αυξημένη χρήση αυτών των εφαρμογών από τους ανθρώπους κατά τη διάρκεια της πανδημίας COVID-19.

Με το BlackRock, οι χάκερ ρίχνουν πραγματικά το δίχτυ, και προφανώς πιστεύουν ότι αυτό θα κάνει το νέο trojan πιο επιτυχημένο από τους προκατόχους του. Ας ελπίσουμε ότι αυτό δεν θα συμβεί και το BlackRock θα πεθάνει εξίσου γρήγορα με τα Xerxes, Parasite, MysteryBot και LokiBot.