Maak kennis met BlackRock, de malware die wachtwoorden en creditcardgegevens van honderden Android-apps kan stelen

Het zal je misschien niet verbazen dat, zoals de meeste dingen in de virtuele wereld, malware voortdurend verandert en evolueert. Hackers stoppen niet met het verbeteren van hun kwaadaardige code en soms kopiëren ze functies en modules van een of meer soorten, voegen ze een aantal van hun eigen functies toe en creëren ze gloednieuwe bedreigingen. Vorige week beoordeelden onderzoekers van Threat Fabric BlackRock, een nieuwkomer in het Android-bedreigingslandschap, en lieten ons zien hoe het allemaal soms werkt.

BlackRock - de oorsprong

BlackRock kan zijn wortels terugvoeren naar LokiBot, een eens zo populaire Android-banktrojan die eind 2016 verscheen. Aanvankelijk voerde de auteur van LokiBot een malware-as-a-service-operatie uit en verhuurde de trojan aan andere hackers die ervoor wilden betalen. Op een gegeven moment werd de maker van malware echter verbannen uit enkele van de populaire ondergrondse forums, en hun bedrijf kreeg daardoor een enorme klap. Waarschijnlijk hierdoor is kort daarna de broncode van LokiBot gelekt.

Dreigingsacteurs hadden geen tweede uitnodiging nodig. Begin 2018 brachten ze MysteryBot uit - een verbeterde versie van LokiBot die beter werkte op nieuwere Android-apparaten en geavanceerdere mogelijkheden voor het stelen van informatie had. Ondanks de upgrades was de hackgemeenschap niet onder de indruk en een paar maanden later besloot een groep hackers het opnieuw te proberen. Ze namen MysteryBot, voegden wat nieuwe functies toe en brachten Parasite uit.

Helaas voor hen raakte Parasite nooit aan en vervaagde het vrij snel in de vergetelheid. De hackers hadden het echter niet helemaal opgegeven. In mei 2019 brachten ze Xerxes uit, een nieuwe upgrade van dezelfde Android-trojan. In de echte LokiBot-traditie wilden de auteurs van Xerxes toegang tot de malware verkopen op de ondergrondse forums, maar hun mede-cybercriminelen toonden geen interesse in de trojan en deze werd later gratis vrijgegeven.

Crooks besloot het echter nog een kans te geven. Een paar maanden geleden namen ze Xerxes, voegden een paar nieuwe functies toe en veranderden de naam in BlackRock.

Een ogenschijnlijk perfecte combinatie van beproefde technieken en nieuwe, geavanceerde functies

Volgens het rapport van Threat Fabric doet BlackRock zich voornamelijk voor als een Google Updates-applicatie en wordt het voorlopig uitsluitend gedownload van websites en app-winkels van derden. Tijdens het installatieproces vraagt het om toegang tot de toegankelijkheidsservices van Android. Via hen verleent het zichzelf extra privileges en voert het de informatie-steelende operatie uit door overlays over andere apps te tekenen. Dit moet gezegd worden, niet bepaald revolutionair. Tal van andere Android-malwarefamilies werken op precies dezelfde manier. Het gebruik van Android Work Profiles is echter nieuw.

Android Work Profiles kunnen door bedrijven worden gebruikt om de toegang van werknemers te controleren terwijl ze onderweg zijn. De auteurs van BlackRock hebben zich gerealiseerd dat ze via de functie een nieuw profiel met beheerdersrechten kunnen maken en volledige controle over het apparaat kunnen krijgen.

Dit stelt hen in staat om de malware te instrueren om allerlei opdrachten uit te voeren die door de Command & Control-server (C&C) worden verzonden. Deze omvatten keylogging, het verzenden en stelen van sms-berichten, het uitvoeren van applicaties, het ophalen en verbergen van pushmeldingen, het blokkeren van antivirus-apps, enz.

De auteurs van BlackRock richten zich op meer dan 300 applicaties

Het belangrijkste doel van BlackRock is natuurlijk om gebruikersinformatie te stelen. Meer specifiek gaat het om gebruikersnamen, wachtwoorden en creditcardgegevens, en het mechanisme om de gegevens te stelen is vrij eenvoudig. Het ziet wanneer de gebruikers op het punt staan om te communiceren met een van de gerichte applicaties, en het gebruikt de toestemmingen die het heeft verzameld om een nep login-formulier of checkout-pagina over de legitieme app te tekenen. Gebruikersnamen, wachtwoorden en creditcardgegevens die in de nepformulieren zijn ingevoerd, worden naar de C&C gestuurd. De overlays worden gedownload en opgeslagen op het apparaat en ze imiteren redelijk goed de beoogde applicaties, wat niet echt verrassend is gezien het feit dat BlackRock is gebaseerd op LokiBot.

Opvallend is echter de enorme lijst met toepassingen waar de boeven zich op richten. Volgens Threat Fabric bevat de targetlijst maar liefst 337 apps. De meeste zijn gerelateerd aan Europese banken, maar de onderzoekers merkten op dat de hackers ook op zoek zijn naar de gebruikers van sommige sociale netwerken en lifestyle-applicaties. Met deze apps zijn de hackers op zoek naar creditcardgegevens in plaats van inloggegevens, en de experts denken dat hun aanwezigheid op de doellijst mogelijk iets te maken heeft met het toegenomen gebruik van dergelijke applicaties door mensen tijdens de COVID-19-pandemie.

Met BlackRock werpen de hackers echt het net wijd uit, en ze denken blijkbaar dat dit de nieuwe trojan succesvoller zal maken dan zijn voorgangers. Hopelijk gebeurt dit niet en zal BlackRock net zo snel sterven als Xerxes, Parasite, MysteryBot en LokiBot.