Conozca BlackRock, el malware que puede robar contraseñas y datos de tarjetas de crédito de cientos de aplicaciones de Android

BlackRock Android Malware

Es posible que no le sorprenda que, como la mayoría de las cosas en el mundo virtual, el malware se transforma y evoluciona constantemente. Los hackers no dejan de mejorar su código malicioso y, a veces, copian funciones y módulos de una o más cepas, agregan algunas de sus propias funciones y crean nuevas amenazas. La semana pasada, los investigadores de Threat Fabric revisaron BlackRock, un recién llegado al panorama de amenazas de Android, y nos mostraron cómo funciona todo a veces.

BlackRock - los orígenes

BlackRock puede rastrear sus raíces hasta LokiBot, un troyano bancario de Android que apareció a fines de 2016. Inicialmente, el autor de LokiBot realizó una operación de malware como servicio y alquiló el troyano a otros piratas informáticos dispuestos a pagarlo. En un momento, sin embargo, el creador de malware fue expulsado de algunos de los foros clandestinos populares, y su negocio sufrió un duro golpe como resultado. Probablemente debido a esto, poco después, el código fuente de LokiBot se filtró.

Los actores de la amenaza no necesitaban una segunda invitación. A principios de 2018, lanzaron MysteryBot, una versión mejorada de LokiBot que funcionaba mejor en dispositivos Android más nuevos y tenía capacidades más avanzadas de robo de información. A pesar de las actualizaciones, la comunidad de piratas informáticos no quedó impresionada, y unos meses después, un grupo de piratas informáticos decidió intentarlo de nuevo. Tomaron MysteryBot, agregaron algunas características nuevas y lanzaron Parasite.

Desafortunadamente para ellos, el parásito nunca se dio cuenta, y también se desvaneció en la oscuridad con bastante rapidez. Sin embargo, los hackers no se habían rendido por completo. En mayo de 2019, lanzaron Xerxes, otra actualización del mismo troyano de Android. En la verdadera tradición de LokiBot, los autores de Xerxes querían vender el acceso al malware en los foros clandestinos, pero sus compañeros cibercriminales no mostraron interés en el troyano, y luego se lanzó de forma gratuita.

Crooks decidió darle otra oportunidad, sin embargo. Hace unos meses, tomaron Xerxes, agregaron algunas características nuevas y lo rebautizaron como BlackRock.

Una combinación aparentemente perfecta de técnicas probadas y nuevas características avanzadas

Según el informe de Threat Fabric, BlackRock se presenta principalmente como una aplicación de Google Updates y, al menos por el momento, se descarga exclusivamente de sitios web y tiendas de aplicaciones de terceros. Durante el proceso de instalación, solicita acceso a los Servicios de Accesibilidad de Android. A través de ellos, se otorga privilegios adicionales y lleva a cabo la operación de robo de información al dibujar superposiciones sobre otras aplicaciones. Esto, hay que decirlo, no es exactamente revolucionario. Muchas otras familias de malware de Android funcionan exactamente de la misma manera. El uso de Android Work Profiles, sin embargo, es nuevo.

Las empresas pueden usar los perfiles de trabajo de Android para controlar el acceso de los empleados mientras están en movimiento. Los autores de BlackRock se han dado cuenta de que a través de la función, pueden crear un nuevo perfil con privilegios administrativos y obtener un control completo sobre el dispositivo.

Esto los coloca en una posición para indicarle al malware que ejecute todo tipo de comandos enviados por el servidor de Comando y Control (C&C). Estos incluyen el registro de teclas, el envío y el robo de mensajes de texto, la ejecución de aplicaciones, la recuperación y ocultación de notificaciones push, el bloqueo de aplicaciones antivirus, etc.

Los autores de BlackRock apuntan a más de 300 aplicaciones

Por supuesto, el objetivo principal de BlackRock es robar información del usuario. Más específicamente, se trata de nombres de usuario, contraseñas y detalles de tarjetas de crédito, y su mecanismo para robar los datos es bastante simple. Ve cuándo los usuarios están a punto de interactuar con una de las aplicaciones específicas, y utiliza los permisos que ha reunido para dibujar un formulario de inicio de sesión falso o una página de pago sobre la aplicación legítima. Los nombres de usuario, las contraseñas y los detalles de la tarjeta de crédito ingresados en los formularios falsos se envían a los C&C. Las superposiciones se descargan y almacenan en el dispositivo, y suplantan bastante bien a las aplicaciones específicas, lo que no es realmente sorprendente dado el hecho de que BlackRock se basa en LokiBot.

Sin embargo, lo que es notable es la enorme lista de aplicaciones a las que se dirigen los delincuentes. Según Threat Fabric, la lista de objetivos contiene no menos de 337 aplicaciones. La mayoría de ellos están relacionados con bancos europeos, pero los investigadores señalaron que los piratas informáticos también persiguen a los usuarios de algunas redes sociales y aplicaciones de estilo de vida. Con estas aplicaciones, los piratas informáticos buscan datos de tarjetas de crédito en lugar de credenciales de inicio de sesión, y los expertos piensan que su presencia en la lista de objetivos puede tener algo que ver con el mayor uso de tales aplicaciones durante la pandemia de COVID-19.

Con BlackRock, los hackers realmente están ampliando la red, y aparentemente piensan que esto hará que el nuevo troyano tenga más éxito que sus predecesores. Con suerte, esto no sucederá, y BlackRock morirá tan rápido como Xerxes, Parasite, MysteryBot y LokiBot.

July 20, 2020

Deja una respuesta