Susipažinkite su „BlackRock“, kenkėjiška programa, galinčia pavogti slaptažodžius ir kreditinės kortelės duomenis iš šimtų „Android“ programų

Jūs negalite atsistebėti, kad, kaip ir dauguma dalykų virtualiajame pasaulyje, kenkėjiška programinė įranga nuolat vystosi ir tobulėja. Piratai nenustoja tobulinti savo kenkėjiško kodo ir kartais nukopijuoja funkcijas ir modulius iš vieno ar kelių atmainų, prideda savo pačių funkcionalumą ir sukuria visiškai naujas grėsmes. Praėjusią savaitę „Threat Fabric“ tyrėjai apžvelgė „ BlackRock“, naujoką „Android“ grėsmių aplinkoje, ir parodė mums, kaip visa tai kartais veikia.

„BlackRock“ - ištakos

„BlackRock“ gali atsekti savo šaknis iki „LokiBot“ - kadaise populiaraus „Android“ bankininkystės trojano, kuris pasirodė 2016 m. Pabaigoje. Iš pradžių „LokiBot“ autorius vykdė kenkėjišką programinę įrangą ir išsinuomojo trojaną kitiems įsilaužėliams, norintiems už tai mokėti. Tačiau vienu metu kenkėjiškų programų kūrėjas buvo uždraustas kai kuriuose populiariuose pogrindžio forumuose, todėl jų verslas patyrė didžiulį smūgį. Tikriausiai dėl to netrukus po to „LokiBot“ šaltinio kodas nutekėjo.

Grėsmingiems aktoriams nereikėjo antro kvietimo. 2018 m. Pradžioje jie išleido „MysteryBot“ - patobulintą „LokiBot“ versiją, kuri geriau veikė naujesniuose „Android“ įrenginiuose ir turėjo modernesnes informacijos vagystės galimybes. Nepaisant atnaujinimų, įsilaužėlių bendruomenė nebuvo sužavėta, o po kelių mėnesių grupė įsilaužėlių nusprendė dar kartą apsilankyti. Jie paėmė „MysteryBot“, pridėjo keletą naujų funkcijų ir išleido „Parasite“.

Jų deja, „Parazitas“ niekada nesivėlė ir gana greitai išblėso į užmarštį. Vis dėlto įsilaužėliai nebuvo visiškai pasidėję. 2019 m. Gegužę jie išleido „Xerxes“, dar vieną to paties „Android“ trojano atnaujinimą. Pagal tikrąją „LokiBot“ tradiciją „Xerxes“ autoriai norėjo parduoti prieigą prie kenkėjiškų programų požeminiuose forumuose, tačiau jų kolegos kibernetiniai nusikaltėliai nerodė susidomėjimo troja, o vėliau ji buvo išleista nemokamai.

Vis dėlto Crooks nusprendė suteikti jam dar vieną šansą. Prieš keletą mėnesių jie paėmė „Xerxes“, pridėjo keletą naujų funkcijų ir vėl pavadino ją „BlackRock“.

Iš pažiūros tobulas išbandytų ir išbandytų metodų bei naujų, pažangių funkcijų derinys

Remiantis „Threat Fabric“ ataskaita, „BlackRock“ dažniausiai yra „Google Updates“ programa ir bent jau kol kas yra atsisiunčiama tik iš trečiųjų šalių svetainių ir programų parduotuvių. Diegimo metu jis prašo prisijungti prie „Android“ pritaikymo neįgaliesiems paslaugų. Per jas ji suteikia sau papildomų privilegijų ir vykdo informacijos vagystės operaciją piešdama kitų programų perdangas. Tai, reikia pasakyti, nėra visiškai revoliucinė. Daugybė kitų „Android“ kenkėjiškų programų šeimų veikia lygiai taip pat. Tačiau „Android“ darbo profilių naudojimas yra naujas.

„Android“ darbo profilius įmonės gali naudoti norėdamos kontroliuoti darbuotojų prieigą jiems keliaujant. „BlackRock“ autoriai suprato, kad naudodamiesi šia funkcija jie gali sukurti naują profilį su administravimo privilegijomis ir įgyti visišką įrenginio valdymą.

Tai leidžia jiems pavesti kenkėjiškoms programoms vykdyti bet kokio pobūdžio komandas, kurias siunčia „Command & Control“ serveris (C&C). Tai apima klaviatūros įrašymą, tekstinių pranešimų siuntimą ir vagystę, programų vykdymą, tiesioginių pranešimų gavimą ir slėpimą, antivirusinių programų blokavimą ir kt.

„BlackRock“ autoriai siekia daugiau nei 300 programų

Žinoma, pagrindinis „BlackRock“ tikslas yra pavogti vartotojo informaciją. Tiksliau sakant, tai yra po vartotojo vardo, slaptažodžių ir kreditinės kortelės informacijos, o duomenų sutraukimo būdas yra gana paprastas. Ji mato, kada vartotojai ketina sąveikauti su viena iš taikomų programų, ir naudojasi surinktais leidimais, kad sudarytų suklastotą prisijungimo formą arba patikros puslapį per teisėtą programą. Į suklastotas formas įvesti vardai, slaptažodžiai ir kreditinės kortelės duomenys siunčiami C&C. Perdangos yra atsisiųstos ir saugomos įrenginyje, jos gana gerai apsimetinėja tikslinėmis programomis, o tai tikrai nestebina, atsižvelgiant į tai, kad „BlackRock“ yra pagrįstas „LokiBot“.

Nepaisant to, nepaprastas yra didžiulis programų, į kurias nukreipti sukčiai, sąrašas. „Threat Fabric“ duomenimis, tiksliniame sąraše yra ne mažiau kaip 337 programos. Daugelis jų yra susiję su Europos bankais, tačiau tyrėjai pažymėjo, kad įsilaužėliai taip pat seka kai kurių socialinių tinklų ir gyvenimo būdo programų vartotojus. Šiose programose įsilaužėliai seka ne kreditinės kortelės duomenis, o prisijungimo duomenis. Ekspertai mano, kad jų buvimas tiksliniame sąraše gali būti susijęs su padidėjusiu žmonių naudojimu tokiomis programomis per COVID-19 pandemiją.

Naudodamiesi „BlackRock“, įsilaužėliai iš tiesų išplatina tinklą ir, matyt, mano, kad tai padarys naująjį „Trojan“ sėkmingiau nei jo pirmtakai. Tikimės, kad taip neatsitiks, ir „BlackRock“ žus taip pat greitai, kaip ir „Xerxes“, „Parasite“, „MysteryBot“ ir „LokiBot“.