Découvrez BlackRock, le logiciel malveillant qui peut voler des mots de passe et des données de carte de crédit à partir de centaines d'applications Android

Vous ne serez peut-être pas surpris que, comme la plupart des choses dans le monde virtuel, les logiciels malveillants se transforment et évoluent constamment. Les pirates informatiques n'arrêtent pas d'améliorer leur code malveillant, et parfois, ils copient des fonctionnalités et des modules d'une ou plusieurs souches, ajoutent certaines de leurs propres fonctionnalités et créent de toutes nouvelles menaces. La semaine dernière, des chercheurs de Threat Fabric ont examiné BlackRock, un nouveau venu dans le paysage des menaces Android, et nous ont montré comment tout cela fonctionne parfois.

BlackRock - les origines

BlackRock peut remonter à LokiBot, un cheval de Troie bancaire Android une fois populaire qui est apparu fin 2016. Initialement, l'auteur de LokiBot a exécuté une opération de malware-as-a-service et a loué le cheval de Troie à d'autres pirates prêts à payer pour cela. À un moment donné, cependant, le créateur de logiciels malveillants a été banni de certains des forums clandestins populaires, et leur entreprise a subi un coup dur en conséquence. Probablement à cause de cela, peu de temps après, le code source de LokiBot a été divulgué.

Les acteurs de la menace n'avaient pas besoin d'une deuxième invitation. Au début de 2018, ils ont sorti MysteryBot - une version améliorée de LokiBot qui fonctionnait mieux sur les nouveaux appareils Android et avait des capacités de vol d'informations plus avancées. Malgré les mises à niveau, la communauté des hackers n'a pas été impressionnée et quelques mois plus tard, un groupe de hackers a décidé de recommencer. Ils ont pris MysteryBot, ajouté de nouvelles fonctionnalités et publié Parasite.

Malheureusement pour eux, Parasite n'a jamais fait son chemin, et il s'est trop rapidement évanoui dans l'obscurité. Cependant, les hackers n'avaient pas complètement abandonné. En mai 2019, ils ont publié Xerxes, une autre mise à niveau du même cheval de Troie Android. Dans la véritable tradition de LokiBot, les auteurs de Xerxes voulaient vendre l'accès au malware sur les forums clandestins, mais leurs collègues cybercriminels ne manifestaient aucun intérêt pour le cheval de Troie, et il a ensuite été publié gratuitement.

Crooks a cependant décidé de lui donner une autre chance. Il y a quelques mois, ils ont pris Xerxes, ajouté quelques nouvelles fonctionnalités et l'ont rebaptisé BlackRock.

Une combinaison apparemment parfaite de techniques éprouvées et de nouvelles fonctionnalités avancées

Selon le rapport de Threat Fabric, BlackRock se présente principalement comme une application Google Updates et, pour le moment du moins, est téléchargé exclusivement à partir de sites Web tiers et de magasins d'applications. Pendant le processus d'installation, il demande l'accès aux services d'accessibilité d'Android. Grâce à eux, il s'octroie des privilèges supplémentaires et mène l'opération de vol d'informations en dessinant des superpositions sur d'autres applications. Il faut le dire, ce n'est pas exactement révolutionnaire. De nombreuses autres familles de logiciels malveillants Android fonctionnent exactement de la même manière. Cependant, l'utilisation des profils de travail Android est nouvelle.

Les profils de travail Android peuvent être utilisés par les entreprises pour contrôler l'accès des employés lorsqu'ils sont en déplacement. Les auteurs de BlackRock ont réalisé que grâce à cette fonctionnalité, ils peuvent créer un nouveau profil avec des privilèges administratifs et obtenir un contrôle complet sur l'appareil.

Cela les met en mesure de demander au malware d'exécuter toutes sortes de commandes envoyées par le serveur Command & Control (C&C). Il s'agit notamment de l'enregistrement des clés, de l'envoi et du vol de messages texte, de l'exécution d'applications, de la récupération et du masquage des notifications push, du blocage des applications antivirus, etc.

Les auteurs de BlackRock ciblent plus de 300 candidatures

Bien sûr, l'objectif principal de BlackRock est de voler les informations des utilisateurs. Plus précisément, c'est après les noms d'utilisateur, les mots de passe et les détails de la carte de crédit, et son mécanisme pour voler les données est assez simple. Il voit quand les utilisateurs sont sur le point d'interagir avec l'une des applications ciblées et utilise les autorisations qu'il a collectées pour dessiner un faux formulaire de connexion ou une page de paiement sur l'application légitime. Les noms d'utilisateur, mots de passe et détails de carte de crédit saisis dans les faux formulaires sont envoyés au C&C. Les superpositions sont téléchargées et stockées sur l'appareil, et elles usurpent plutôt bien les applications ciblées, ce qui n'est pas vraiment surprenant étant donné que BlackRock est basé sur LokiBot.

Ce qui est remarquable, cependant, c'est l'énorme liste d'applications ciblées par les escrocs. Selon Threat Fabric, la liste cible ne contient pas moins de 337 applications. La plupart d'entre eux sont liés aux banques européennes, mais les chercheurs ont noté que les pirates informatiques recherchent également les utilisateurs de certains réseaux sociaux et applications de style de vie. Avec ces applications, les pirates informatiques recherchent des données de carte de crédit plutôt que des identifiants de connexion, et les experts pensent que leur présence sur la liste cible peut avoir quelque chose à voir avec l'utilisation accrue de ces applications par les gens pendant la pandémie COVID-19.

Avec BlackRock, les pirates lancent vraiment le filet au large, et ils pensent apparemment que cela rendra le nouveau cheval de Troie plus performant que ses prédécesseurs. Espérons que cela n'arrivera pas, et BlackRock mourra aussi rapidement que Xerxes, Parasite, MysteryBot et LokiBot.