Scopri BlackRock, il malware che può rubare password e dati delle carte di credito da centinaia di app Android
Potresti non essere sorpreso dal fatto che, come la maggior parte delle cose nel mondo virtuale, il malware si trasformi e si evolva costantemente. Gli hacker non smettono di migliorare il loro codice dannoso e, a volte, copiano funzionalità e moduli da uno o più ceppi, aggiungono alcune delle proprie funzionalità e creano minacce nuove di zecca. La scorsa settimana, i ricercatori di Threat Fabric hanno recensito BlackRock, un nuovo arrivato nel panorama delle minacce Android, e ci hanno mostrato come a volte tutto funzioni.
Table of Contents
BlackRock: le origini
BlackRock può risalire a LokiBot, un trojan bancario Android un tempo popolare apparso alla fine del 2016. Inizialmente, l'autore di LokiBot ha eseguito un'operazione di malware come servizio e ha affittato il trojan ad altri hacker disposti a pagarlo. Ad un certo punto, tuttavia, il creatore di malware è stato bandito da alcuni dei popolari forum sotterranei e la loro attività ha subito un duro colpo. Probabilmente a causa di ciò, poco dopo, il codice sorgente di LokiBot è trapelato.
Gli attori delle minacce non avevano bisogno di un secondo invito. All'inizio del 2018, hanno rilasciato MysteryBot, una versione migliorata di LokiBot che ha funzionato meglio su dispositivi Android più recenti e con funzionalità di furto di informazioni più avanzate. Nonostante gli aggiornamenti, la comunità degli hacker non è stata colpita e, pochi mesi dopo, un gruppo di hacker ha deciso di provare ancora. Hanno preso MysteryBot, aggiunto alcune nuove funzionalità e rilasciato Parasite.
Sfortunatamente per loro, il parassita non ha mai preso piede, e troppo presto è sbiadito nell'oscurità. Tuttavia, gli hacker non si erano completamente arresi. A maggio 2019, hanno rilasciato Xerxes, un altro aggiornamento dello stesso trojan Android. Nella vera tradizione di LokiBot, gli autori di Xerxes volevano vendere l'accesso al malware sui forum sotterranei, ma i loro compagni criminali informatici non hanno mostrato alcun interesse per il trojan, che è stato successivamente rilasciato gratuitamente.
Truffatori decisero di dargli ancora un'altra possibilità. Alcuni mesi fa, hanno preso Xerxes, hanno aggiunto alcune nuove funzionalità e lo hanno rinominato BlackRock.
Una combinazione apparentemente perfetta di tecniche collaudate e nuove funzionalità avanzate
Secondo il rapporto di Threat Fabric, BlackRock si pone principalmente come un'applicazione di Google Aggiornamenti e, per il momento, viene scaricato esclusivamente da siti Web e app store di terze parti. Durante il processo di installazione, richiede l'accesso ai servizi di accessibilità di Android. Attraverso di essi, si concede ulteriori privilegi e conduce l'operazione di furto di informazioni disegnando sovrapposizioni su altre app. Questo, va detto, non è esattamente rivoluzionario. Molte altre famiglie di malware Android funzionano esattamente allo stesso modo. L'uso dei profili di lavoro Android, tuttavia, è nuovo.
I profili di lavoro Android possono essere utilizzati dalle aziende per controllare l'accesso dei dipendenti mentre sono in movimento. Gli autori di BlackRock hanno capito che attraverso la funzione, possono creare un nuovo profilo con privilegi di amministratore e ottenere il controllo completo sul dispositivo.
Ciò li mette in grado di istruire il malware ad eseguire tutti i tipi di comandi inviati dal server Command & Control (C&C). Questi includono keylogging, invio e furto di messaggi di testo, esecuzione di applicazioni, recupero e occultamento di notifiche push, blocco di app antivirus, ecc.
Gli autori di BlackRock prendono di mira più di 300 applicazioni
Naturalmente, lo scopo principale di BlackRock è rubare le informazioni dell'utente. Più specificamente, richiede nomi utente, password e dettagli della carta di credito e il suo meccanismo per rubare i dati è piuttosto semplice. Capisce quando gli utenti stanno per interagire con una delle applicazioni target e utilizza le autorizzazioni che ha raccolto per disegnare un modulo di accesso falso o una pagina di checkout sull'app legittima. Nomi utente, password e dettagli della carta di credito inseriti nei moduli falsi vengono inviati a C&C. Gli overlay vengono scaricati e archiviati sul dispositivo e rappresentano piuttosto bene le applicazioni di destinazione, il che non sorprende, dato che BlackRock si basa su LokiBot.
Ciò che è notevole, tuttavia, è l'enorme elenco di applicazioni che i truffatori stanno prendendo di mira. Secondo Threat Fabric, l'elenco di destinazione contiene non meno di 337 app. La maggior parte di questi sono collegati a banche europee, ma i ricercatori hanno notato che gli hacker sono anche alla ricerca di utenti di alcuni social network e applicazioni di lifestyle. Con queste app, gli hacker ricercano i dati della carta di credito anziché le credenziali di accesso e gli esperti ritengono che la loro presenza nell'elenco di destinazione possa avere a che fare con l'aumento dell'utilizzo da parte delle persone di tali applicazioni durante la pandemia di COVID-19.
Con BlackRock, gli hacker stanno davvero diffondendo la rete e, a quanto pare, pensano che questo renderà il nuovo trojan più efficace rispetto ai suoi predecessori. Speriamo che ciò non accada e BlackRock morirà altrettanto rapidamente di Serse, Parasite, MysteryBot e LokiBot.
