Poznaj BlackRock, złośliwe oprogramowanie, które może kraść hasła i dane kart kredytowych z setek aplikacji na Androida

BlackRock Android Malware

Możesz nie być zaskoczony, że podobnie jak większość rzeczy w świecie wirtualnym, złośliwe oprogramowanie nieustannie zmienia się i ewoluuje. Hakerzy nie przestają ulepszać swojego złośliwego kodu, a czasem kopiują funkcje i moduły z jednego lub więcej szczepów, dodają własne funkcje i tworzą zupełnie nowe zagrożenia. W zeszłym tygodniu badacze z Threat Fabric przejrzeli BlackRock, nowicjusza w świecie zagrożeń dla Androida, i pokazali nam, jak to wszystko czasami działa.

BlackRock - początki

BlackRock może prześledzić swoje korzenie do LokiBot, niegdyś popularnego trojana bankowego dla Androida, który pojawił się pod koniec 2016 roku. Początkowo autor LokiBot przeprowadził operację typu malware jako usługa i wynajął trojana innym hakerom, którzy chcieli za to zapłacić. Jednak w pewnym momencie twórca szkodliwego oprogramowania został wyrzucony z niektórych popularnych forów podziemnych, w wyniku czego ich biznes poniósł ogromny cios. Prawdopodobnie z tego powodu, wkrótce potem wyciekł kod źródłowy LokiBota.

Aktorzy grożący nie potrzebowali drugiego zaproszenia. Na początku 2018 roku wydali MysteryBot - ulepszoną wersję LokiBota, która działała lepiej na nowszych urządzeniach z Androidem i miała bardziej zaawansowane możliwości kradzieży informacji. Pomimo aktualizacji społeczność hakerów nie była pod wrażeniem, a kilka miesięcy później grupa hakerów postanowiła spróbować jeszcze raz. Wzięli MysteryBot, dodali kilka nowych funkcji i wydali Parasite.

Na nieszczęście dla nich Pasożyt nigdy się nie przyjął i również szybko zniknął w zapomnieniu. Jednak hakerzy nie poddali się całkowicie. W maju 2019 roku wypuścili Xerxes, kolejną aktualizację tego samego trojana dla Androida. Zgodnie z prawdziwą tradycją LokiBota autorzy Xerxesa chcieli sprzedawać dostęp do złośliwego oprogramowania na podziemnych forach, ale ich koledzy z cyberprzestępców nie wykazywali zainteresowania trojanem, który został później wydany za darmo.

Crooks postanowił jednak dać mu jeszcze jedną szansę. Kilka miesięcy temu wzięli Xerxes, dodali kilka nowych funkcji i zmienili nazwę na BlackRock.

Pozornie idealne połączenie wypróbowanych i przetestowanych technik oraz nowych, zaawansowanych funkcji

Według raportu Threat Fabric, BlackRock działa głównie jako aplikacja Google Updates i, na razie, jest pobierany wyłącznie ze stron internetowych i sklepów z aplikacjami innych firm. Podczas procesu instalacji prosi o dostęp do usług ułatwień dostępu Androida. Za ich pośrednictwem przyznaje sobie dodatkowe uprawnienia i przeprowadza operację kradzieży informacji, rysując nakładki na inne aplikacje. Trzeba powiedzieć, że nie jest to do końca rewolucyjne. Wiele innych rodzin szkodliwego oprogramowania dla Androida działa dokładnie w ten sam sposób. Korzystanie z profili Android do pracy jest jednak nowe.

Profile pracy z Androidem mogą być używane przez firmy do kontrolowania dostępu pracowników podczas ich podróży. Autorzy BlackRock zdali sobie sprawę, że dzięki tej funkcji mogą utworzyć nowy profil z uprawnieniami administracyjnymi i uzyskać pełną kontrolę nad urządzeniem.

To pozwala im na poinstruowanie złośliwego oprogramowania o wykonywaniu wszelkiego rodzaju poleceń wysyłanych przez serwer Command & Control (C&C). Należą do nich keylogging, wysyłanie i kradzież wiadomości tekstowych, uruchamianie aplikacji, pobieranie i ukrywanie powiadomień push, blokowanie aplikacji antywirusowych itp.

Autorzy BlackRock celują w ponad 300 aplikacji

Oczywiście głównym celem BlackRock jest kradzież informacji o użytkownikach. Mówiąc dokładniej, dotyczy to nazw użytkowników, haseł i danych kart kredytowych, a mechanizm ich kradzieży jest dość prosty. Widzi, kiedy użytkownicy mają zamiar wejść w interakcję z jedną z docelowych aplikacji, i korzysta z uzyskanych uprawnień, aby narysować fałszywy formularz logowania lub stronę kasy na legalnej aplikacji. Nazwy użytkownika, hasła i dane karty kredytowej wprowadzone w fałszywych formularzach są wysyłane do C&C. Nakładki są pobierane i przechowywane na urządzeniu i dość dobrze podszywają się pod docelowe aplikacje, co nie jest zaskakujące, biorąc pod uwagę fakt, że BlackRock jest oparty na LokiBocie.

Niezwykła jest jednak ogromna lista aplikacji, na które celują oszustów. Według Threat Fabric lista docelowa zawiera nie mniej niż 337 aplikacji. Większość z nich związana jest z bankami europejskimi, ale naukowcy zauważyli, że hakerzy szukają również użytkowników niektórych sieci społecznościowych i aplikacji związanych ze stylem życia. Dzięki tym aplikacjom hakerzy szukają raczej danych karty kredytowej niż danych logowania, a eksperci uważają, że ich obecność na liście docelowej może mieć coś wspólnego ze zwiększonym wykorzystaniem takich aplikacji przez ludzi podczas pandemii COVID-19.

Dzięki BlackRock hakerzy naprawdę zarzucają sieć i najwyraźniej uważają, że dzięki temu nowy trojan odniesie większe sukcesy niż jego poprzednicy. Mamy nadzieję, że tak się nie stanie, a BlackRock umrze tak szybko, jak Kserkses, Pasożyt, MysteryBot i LokiBot.

July 20, 2020

Zostaw odpowiedź