何百ものAndroidアプリからパスワードとクレジットカードデータを盗むマルウェアであるBlackRockに出会う
仮想世界のほとんどのものと同様に、マルウェアは常に変化し進化していることに驚かないかもしれません。ハッカーは悪意のあるコードの改善を止めず、1つまたは複数の株から機能やモジュールをコピーし、独自の機能の一部を追加して、まったく新しい脅威を作成します。先週、Threat Fabricの研究者たちは、Androidの脅威の新参者であるBlackRockをレビューし、時々すべてがどのように機能するかを示しました。
Table of Contents
BlackRock –起源
BlackRockのルーツは、2016年後半に登場したかつて人気のAndroidバンキング型トロイの木馬であるLokiBotにまで遡ります。最初、LokiBotの作者はサービスとしてマルウェアを実行し、そのトロイの木馬を他のハッカーに貸し出して料金を支払いました。しかし、ある時点で、マルウェアの作成者はいくつかの人気のアンダーグラウンドフォーラムから禁止され、その結果、彼らのビジネスは大きな打撃を受けました。このためか、LokiBotのソースコードがリークされました。
攻撃者は2回目の招待を必要としませんでした。 2018年の初めに、彼らはMysteryBotをリリースしました。これは、新しいAndroidデバイスでよりよく機能し、より高度な情報盗用機能を備えたLokiBotの改良バージョンです。アップグレードにもかかわらず、ハッキングコミュニティは感銘を受けませんでした。数か月後、ハッカーのグループがもう一度やってみることにしました。彼らはMysteryBotを採用し、いくつかの新機能を追加して、Parasiteをリリースしました。
彼らにとって残念なことに、寄生虫は決して追いついたことがなく、それもあまりにすぐにあいまいに消えていった。しかし、ハッカーは完全にあきらめていませんでした。 2019年5月に、彼らは同じAndroidトロイの木馬の別のアップグレードであるXerxesをリリースしました。真のLokiBotの伝統では、Xerxesの作者はアンダーグラウンドフォーラムでマルウェアへのアクセスを販売したいと考えていましたが、仲間のサイバー犯罪者はトロイの木馬に興味を示さず、後で無料でリリースされました。
しかし、詐欺師たちはそれをまた別の機会に与えることにしました。数か月前、彼らはXerxesを採用し、いくつかの新機能を追加して、BlackRockとしてブランド変更しました。
実証済みのテクニックと新しい高度な機能の見かけ上完璧な組み合わせ
Threat Fabricのレポートによると、BlackRockは主にGoogle Updatesアプリケーションを装っており、少なくとも当面はサードパーティのウェブサイトやアプリストアからのみダウンロードされます。インストールプロセス中に、Androidのユーザー補助サービスへのアクセスを要求します。それらを介して、それ自体に追加の権限を付与し、他のアプリの上にオーバーレイを描画することにより、情報を盗む操作を行います。これは言わなければならないことですが、まさに革命的なことではありません。他の多くのAndroidマルウェアファミリーもまったく同じように機能します。ただし、Android仕事用プロファイルの使用は新しいものです。
企業はAndroid Work Profilesを使用して、移動中の従業員のアクセスを制御できます。 BlackRockの作成者は、この機能により、管理者権限を持つ新しいプロファイルを作成し、デバイスを完全に制御できることに気づきました。
これにより、Command&Controlサーバー(C&C)から送信されたあらゆる種類のコマンドを実行するようマルウェアに指示する立場に置かれます。これには、キーロギング、テキストメッセージの送信と盗用、アプリケーションの実行、プッシュ通知の取得と非表示、ウイルス対策アプリのブロックなどが含まれます。
BlackRockの作成者は300を超えるアプリケーションをターゲットにしています
もちろん、BlackRockの主な目的はユーザー情報を盗むことです。より具体的には、ユーザー名、パスワード、クレジットカードの詳細の後にあり、データを盗むためのメカニズムはかなり単純です。ユーザーがターゲットアプリケーションの1つを操作しようとしているときを確認し、収集した権限を使用して、正規のアプリ上に偽のログインフォームまたはチェックアウトページを描画します。偽のフォームに入力されたユーザー名、パスワード、クレジットカードの詳細は、C&Cに送信されます。オーバーレイはダウンロードされてデバイスに保存され、ターゲットアプリケーションになりすまします。これは、BlackRockがLokiBotに基づいているという事実を考えると、それほど驚くことではありません。
ただし、注目すべきは、詐欺師が標的にしているアプリケーションの膨大なリストです。 Threat Fabricによると、ターゲットリストには337以上のアプリが含まれています。それらのほとんどはヨーロッパの銀行に関連していますが、研究者は、ハッカーはいくつかのソーシャルネットワークやライフスタイルアプリケーションのユーザーも狙っていると指摘しました。これらのアプリでは、ハッカーはログイン資格情報ではなくクレジットカードデータを求めており、専門家は、ターゲットリストに存在することで、COVID-19パンデミック時のこうしたアプリケーションの利用の増加と関係があると考えています。
BlackRockを使用すると、ハッカーは実際にネット全体にキャストしており、これにより、新しいトロイの木馬は以前のトロイの木馬よりも成功すると思われます。うまくいけば、これは起こらず、BlackRockはXerxes、Parasite、MysteryBot、LokiBotと同じくらい早く死ぬでしょう。