Conheça o BlackRock, o malware que pode roubar senhas e dados de cartão de crédito de centenas de aplicativos Android

BlackRock Android Malware

Você não ficará surpreso ao saber que, como a maioria das coisas no mundo virtual, o malware constantemente se transforma e evolui. Os hackers não param de melhorar seu código malicioso e, às vezes, copiam recursos e módulos de uma ou mais variedades, adicionam algumas de suas próprias funcionalidades e criam novas ameaças. Na semana passada, os pesquisadores do Threat Fabric revisaram o BlackRock, um recém-chegado ao cenário de ameaças do Android, e nos mostraram como tudo funciona às vezes.

BlackRock - as origens

A BlackRock pode rastrear suas raízes até o LokiBot, um Trojan bancário Android popular que apareceu no final de 2016. Inicialmente, o autor do LokiBot executou uma operação de malware como serviço e alugou o trojan a outros hackers dispostos a pagar por isso. Em um ponto, no entanto, o criador do malware foi banido de alguns dos populares fóruns clandestinos, e seus negócios sofreram um duro golpe como resultado. Provavelmente por causa disso, logo depois, o código fonte do LokiBot vazou.

Os atores de ameaças não precisavam de um segundo convite. No início de 2018, eles lançaram o MysteryBot - uma versão aprimorada do LokiBot que funcionava melhor em dispositivos Android mais recentes e tinha recursos mais avançados de roubo de informações. Apesar das atualizações, a comunidade de hackers não ficou impressionada e, alguns meses depois, um grupo de hackers decidiu tentar outra vez. Eles pegaram o MysteryBot, adicionaram alguns novos recursos e lançaram o Parasite.

Infelizmente para eles, o Parasite nunca percebeu, e também se tornou obscuro rapidamente. Os hackers não haviam desistido completamente, no entanto. Em maio de 2019, eles lançaram o Xerxes, outra atualização do mesmo cavalo de tróia Android. Na verdadeira tradição do LokiBot, os autores de Xerxes queriam vender acesso ao malware nos fóruns clandestinos, mas seus colegas cibercriminosos não demonstraram interesse no cavalo de Troia, e mais tarde foi lançado de graça.

Os bandidos decidiram dar mais uma chance, no entanto. Alguns meses atrás, eles pegaram Xerxes, adicionaram alguns novos recursos e o renomearam como BlackRock.

Uma combinação aparentemente perfeita de técnicas testadas e comprovadas e novos recursos avançados

Segundo o relatório da Threat Fabric, o BlackRock se apresenta predominantemente como um aplicativo do Google Updates e, por enquanto, é baixado exclusivamente de sites e lojas de aplicativos de terceiros. Durante o processo de instalação, ele solicita acesso aos Serviços de Acessibilidade do Android. Por meio deles, ele se concede privilégios adicionais e conduz a operação de roubo de informações desenhando sobreposições sobre outros aplicativos. É preciso dizer que isso não é exatamente revolucionário. Muitas outras famílias de malware para Android funcionam exatamente da mesma maneira. O uso de perfis profissionais do Android, no entanto, é novo.

Os perfis de trabalho do Android podem ser usados pelas empresas para controlar o acesso dos funcionários enquanto estão em movimento. Os autores da BlackRock perceberam que, por meio desse recurso, eles podem criar um novo perfil com privilégios administrativos e obter controle completo sobre o dispositivo.

Isso os coloca em posição de instruir o malware a executar todos os tipos de comandos enviados pelo servidor de Comando e Controle (C&C). Isso inclui registro de chaves, envio e roubo de mensagens de texto, execução de aplicativos, recuperação e ocultação de notificações por push, bloqueio de aplicativos antivírus etc.

Os autores da BlackRock têm como alvo mais de 300 aplicativos

Obviamente, o principal objetivo do BlackRock é roubar informações do usuário. Mais especificamente, ele busca nomes de usuário, senhas e detalhes de cartão de crédito, e seu mecanismo para roubar dados é bastante simples. Ele vê quando os usuários estão prestes a interagir com um dos aplicativos de destino e usa as permissões que reuniu para desenhar um formulário de login falso ou uma página de checkout sobre o aplicativo legítimo. Nomes de usuário, senhas e detalhes de cartão de crédito inseridos nos formulários falsos são enviados para a C&C. As sobreposições são baixadas e armazenadas no dispositivo e representam muito bem os aplicativos de destino, o que não é realmente surpreendente, dado que o BlackRock é baseado no LokiBot.

O que é notável, no entanto, é a enorme lista de aplicativos que os criminosos estão mirando. De acordo com o Threat Fabric, a lista de destinos contém nada menos que 337 aplicativos. A maioria deles está relacionada a bancos europeus, mas os pesquisadores observaram que os hackers também estão atrás dos usuários de algumas redes sociais e aplicativos de estilo de vida. Com esses aplicativos, os hackers buscam dados do cartão de crédito em vez de credenciais de login, e os especialistas acham que a presença deles na lista de destinos pode ter algo a ver com o aumento do uso dessas aplicações pelas pessoas durante a pandemia do COVID-19.

Com o BlackRock, os hackers estão realmente divulgando toda a rede e, aparentemente, pensam que isso fará com que o novo trojan seja mais bem-sucedido do que seus antecessores. Felizmente, isso não acontecerá e o BlackRock morrerá tão rapidamente quanto Xerxes, Parasite, MysteryBot e LokiBot.

July 20, 2020

Deixe uma Resposta