Møt BlackRock, skadelig programvare som kan stjele passord og kredittkortdata fra hundrevis av Android-apper

Du er kanskje ikke overrasket over at malware, som de fleste ting i den virtuelle verdenen, kontinuerlig forandrer seg og utvikler seg. Hackere slutter ikke å forbedre sin ondsinnede kode, og noen ganger kopierer de funksjoner og moduler fra en eller flere stammer, legger til noe av sin egen funksjonalitet og lager helt nye trusler. I forrige uke forskere fra Threat Fabric anmeldt Blackrock, en nykommer til Android trussellandskap, og viste oss hvordan det hele fungerer noen ganger.

BlackRock - opprinnelsen

BlackRock kan spore sine røtter tilbake til LokiBot, en en gang populær Android bank-trojan som dukket opp i slutten av 2016. Til å begynne med kjørte forfatteren av LokiBot en malware-as-a-service-operasjon og leide trojanen til andre hackere som var villige til å betale for den. På et tidspunkt ble malware-skaperen imidlertid utestengt fra noen av de populære underjordiske fora, og virksomheten deres fikk et enormt slag som et resultat. Sannsynligvis på grunn av dette, kort tid etter, ble LokiBots kildekode lekket.

Trusselaktører trengte ikke en ny invitasjon. I begynnelsen av 2018 ga de ut MysteryBot - en forbedret versjon av LokiBot som fungerte bedre på nyere Android-enheter og hadde mer avanserte evner til å stjele informasjon. Til tross for oppgraderingene, var ikke hacking-samfunnet imponert, og noen måneder senere bestemte en gruppe hackere seg for å ta en ny tur. De tok MysteryBot, la til noen nye funksjoner og ga ut Parasite.

Dessverre for dem, fanget aldri parasitten, og den bleknet også til uklarhet ganske raskt. Hackerne hadde imidlertid ikke gitt helt opp. I mai 2019 ga de ut Xerxes, nok en oppgradering av den samme Android-trojanen. I ekte LokiBot-tradisjon ønsket Xerxes 'forfattere å selge tilgang til skadelig programvare på de underjordiske fora, men deres med-nettkriminelle viste ingen interesse for trojanen, og den ble senere utgitt gratis.

Crooks bestemte seg imidlertid for å gi den enda en sjanse. For noen måneder siden tok de Xerxes, la til noen nye funksjoner og merket det på nytt som BlackRock.

En tilsynelatende perfekt kombinasjon av prøvde og testede teknikker og nye, avanserte funksjoner

Ifølge rapporten fra Threat Fabric utgjør BlackRock overveiende som en Google Updates-applikasjon, og blir foreløpig i det minste lastet ned fra tredjeparts nettsteder og appbutikker. Under installasjonsprosessen ber den om tilgang til Android's Accessibility Services. Gjennom dem gir det seg ekstra privilegier og utfører informasjonstjelingsoperasjonen ved å tegne overlegg over andre apper. Dette, må sies, er ikke akkurat revolusjonerende. Mange andre Android-malware-familier jobber på nøyaktig samme måte. Bruken av Android Work-profiler er imidlertid ny.

Android Work-profiler kan brukes av selskaper til å kontrollere ansattes tilgang mens de er på farten. BlackRocks forfattere har innsett at de gjennom funksjonen kan opprette en ny profil med administrative rettigheter og få full kontroll over enheten.

Dette setter dem i stand til å instruere skadelig programvare til å utføre alle slags kommandoer sendt av Command & Control server (C&C). Disse inkluderer keylogging, sending og stjeling av tekstmeldinger, kjøring av applikasjoner, henting og skjul av pushvarsler, blokkering av antivirusprogrammer, etc.

BlackRocks forfattere retter seg mot mer enn 300 applikasjoner

Selvfølgelig er BlackRocks hovedformål å stjele brukerinformasjon. Mer spesifikt er det etter brukernavn, passord og kredittkortdetaljer, og mekanismen for å samle dataene er ganske enkel. Den ser når brukerne er i ferd med å samhandle med en av de målrettede applikasjonene, og den bruker tillatelsene den har samlet for å tegne et falskt påloggingsskjema eller en kasseside over den legitime appen. Brukernavn, passord og kredittkortinformasjon som er lagt inn i falske skjemaer, sendes C & C. Overleggene lastes ned og lagres på enheten, og de utgir seg for de målrettede applikasjonene ganske godt, noe som ikke er veldig overraskende gitt det faktum at BlackRock er basert på LokiBot.

Det som imidlertid er bemerkelsesverdig, er den enorme listen over bruksområder som kjeltringene retter seg mot. I følge Threat Fabric inneholder mållisten ikke færre enn 337 apper. De fleste av dem er relatert til europeiske banker, men forskerne bemerket at hackerne også er etter brukerne av noen sosiale nettverk og livsstilsapplikasjoner. Med disse appene er hackerne etter kredittkortdata fremfor påloggingsinformasjon, og ekspertene tror at deres tilstedeværelse på mållisten kan ha noe å gjøre med folks økte bruk av slike applikasjoner under COVID-19-pandemien.

Med BlackRock kaster hackerne virkelig nettet bredt, og de tror tilsynelatende at dette vil gjøre den nye trojanen mer vellykket enn forgjengerne. Forhåpentligvis vil ikke dette skje, og BlackRock vil dø like raskt som Xerxes, Parasite, MysteryBot og LokiBot.