Ismerkedjen meg a BlackRock-nal, a rosszindulatú programmal, amely ellophatja a jelszavakat és hitelkártya-adatait több száz Android-alkalmazásból

Lehet, hogy nem lep meg, hogy a virtuális világ legtöbb dolgához hasonlóan a rosszindulatú programok folyamatosan morfikálódnak és fejlődnek. A hackerek nem állítják le a rosszindulatú kódjaikat, és néha másolnak funkciókat és modulokat egy vagy több törzsből, hozzáadják saját funkcióik egy részét és vadonatúj fenyegetéseket hoznak létre. A múlt héten a Threat Fabric kutatói áttekintették a BlackRock-ot, az Android fenyegetõhelyének újoncját, és megmutatták nekünk, hogy mindez hogyan működik néha.

BlackRock - az eredet

A BlackRock vissza tudja vezetni a gyökereit a LokiBotba, az egykor népszerű Android banki trójaihoz, amely 2016 végén jelent meg. A LokiBot szerzője kezdetben egy rosszindulatú programként működött, és a trójai bérelt más hackereknek, akik hajlandók fizetni érte. Egy ponton azonban a rosszindulatú programok készítőjét betiltották néhány népszerű underground fórumba, és üzleti tevékenységük ennek eredményeként hatalmas csapást szenvedett. Valószínűleg ezért, nem sokkal később, a LokiBot forráskódja kiszivárogtatott.

A fenyegető színészeknek nem volt szükségük második meghívásra. 2018 elején kiadták a MysteryBot - a LokiBot továbbfejlesztett verzióját, amely jobban működött az újabb Android készülékeken, és fejlettebb információlopó képességeivel rendelkezik. A frissítések ellenére a hackerek közösségének nem volt benyomása, és néhány hónappal később egy hackerek csoportja úgy döntött, hogy újabb indulást indít. Elvitték a MysteryBot-t, új funkciókat adtak hozzá és kiadták a Parasite-ot.

Nekik sajnos, a Parazita soha nem ért el, és ez is elég gyorsan elhomályosult. A hackerek azonban nem adták fel teljesen. 2019 májusában kiadták a Xerxes-t, ugyanazon Android trójai újabb frissítését. A valódi LokiBot hagyomány szerint a Xerxes szerzői a földalatti fórumokon akarták eljuttatni a rosszindulatú szoftverekhez való hozzáférést, ám számítógépes bűnözőik nem mutattak érdeklődést a trójai iránt, és később ingyenesen engedték el.

Crooks úgy döntött, hogy újabb esélyt ad neki. Néhány hónappal ezelőtt elvették a Xerxes-t, hozzáadtak néhány új funkciót, és BlackRock néven márkanevezték.

A látszólag tökéletes kombináció a bevált technikák és az új, fejlett funkciók között

A Threat Fabric jelentése szerint a BlackRock elsősorban Google Updates alkalmazásként jelenik meg, és legalább egyelőre kizárólag harmadik féltől származó weboldalakról és alkalmazásboltokból tölthető le. A telepítési folyamat során hozzáférést kér az Android akadálymentesség-szolgáltatásaihoz. Ezen keresztül további jogosultságokat biztosít magának, és az információlopó műveletet más alkalmazásokra átfedések rajzolásával végzi. Azt kell mondanom, hogy ez nem pontosan forradalmi. Számos más Android rosszindulatú programcsalád pontosan ugyanúgy működik. Az Android munkaprofilok használata azonban újszerű.

Az Android munkaprofilokat a vállalatok használhatják annak érdekében, hogy ellenőrizzék a munkavállalók hozzáférését mozgásuk során. A BlackRock szerzői rájöttek, hogy a szolgáltatás révén új profilt hozhatnak létre adminisztratív jogosultságokkal, és teljes ellenőrzést kaphatnak az eszköz felett.

Ez lehetővé teszi számukra, hogy utasítsák a rosszindulatú programokat a Command & Control szerver (C&C) által küldött mindenféle parancs végrehajtására. Ezek magukban foglalják a billentyűzést, a szöveges üzenetek küldését és ellopását, az alkalmazások futtatását, a push értesítések lekérését és elrejtését, az antivírusos alkalmazások blokkolását stb.

A BlackRock szerzői több mint 300 alkalmazást céloznak meg

Természetesen a BlackRock fő célja a felhasználói információk ellopása. Pontosabban, felhasználónevek, jelszavak és hitelkártya-adatok után, és az adatok megkönnyítésének mechanizmusa meglehetősen egyszerű. Látja, amikor a felhasználók interakcióba lépnek a célzott alkalmazások valamelyikével, és az összegyűjtött engedélyekkel hamis bejelentkezési űrlapot vagy fizetési oldalt rajzol a legitim alkalmazás fölé. A hamis űrlapokba bevitt felhasználóneveket, jelszavakat és hitelkártya-adatokat a C&C elküldik. Az átfedéseket letöltik és tárolják az eszközön, és meglehetősen jól ábrázolják a megcélzott alkalmazásokat, ami nem igazán meglepő, tekintettel arra a tényre, hogy a BlackRock a LokiBot alapú.

Figyelemre méltó azonban az a hatalmas alkalmazáslista, amelyet a csalók megcéloznak. A Threat Fabric szerint a céllista nem kevesebb, mint 337 alkalmazást tartalmaz. Legtöbben az európai bankokkal állnak kapcsolatban, de a kutatók megjegyezték, hogy a hackerek bizonyos társadalmi hálózatok és életmód-alkalmazások felhasználóit is követik. Ezekkel az alkalmazásokkal a hackerek inkább hitelkártya-adatokra, mint bejelentkezési hitelesítő adatokra vonatkoznak, és a szakértők úgy vélik, hogy a céllistán való jelenlétük köze lehet az embereknek az ilyen alkalmazások fokozott használatához a COVID-19 járvány idején.

A BlackRock használatával a hackerek valóban szélesre dobják a hálózatot, és úgy gondolják, hogy ez az új trójai sikeresebbé teszi az elődeit. Remélhetőleg nem fog megtörténni, és a BlackRock ugyanolyan gyorsan meghal, mint a Xerxes, a Parasite, a MysteryBot és a LokiBot.