Познакомьтесь с BlackRock, вредоносным ПО, которое может украсть пароли и данные кредитных карт из сотен приложений для Android

Вы можете не удивляться тому, что, как и большинство вещей в виртуальном мире, вредоносное ПО постоянно трансформируется и развивается. Хакеры не прекращают совершенствовать свой вредоносный код, а иногда они копируют функции и модули из одного или нескольких типов, добавляют некоторые свои собственные функции и создают новые угрозы. На прошлой неделе исследователи из Threat Fabric рассмотрели BlackRock, новичка в ландшафте угроз Android, и показали нам, как иногда все это работает.

BlackRock - истоки

BlackRock берет свое начало от LokiBot, некогда популярного банковского трояна Android, появившегося в конце 2016 года. Первоначально автор LokiBot выполнил операцию «вредоносное ПО как услуга» и сдал троян в аренду другим хакерам, желающим заплатить за него. Однако в какой-то момент создатель вредоносных программ был заблокирован на некоторых популярных подпольных форумах, и в результате их бизнес получил огромный удар. Вероятно, из-за этого, вскоре после этого, исходный код LokiBot утек.

Злоумышленники не нуждались во втором приглашении. В начале 2018 года они выпустили MysteryBot - улучшенную версию LokiBot, которая работала лучше на новых устройствах Android и имела более продвинутые возможности кражи информации. Несмотря на обновления, сообщество хакеров не впечатлило, и через несколько месяцев группа хакеров решила пойти еще раз. Они взяли MysteryBot, добавили некоторые новые функции и выпустили Parasite.

К сожалению для них, Паразит так и не завоевал популярность, и он слишком быстро исчез в безвестности. Однако хакеры не сдались полностью. В мае 2019 года они выпустили Xerxes, еще одно обновление того же трояна Android. По истинной традиции LokiBot авторы Xerxes хотели продавать доступ к вредоносным программам на подпольных форумах, но их коллеги-киберпреступники не проявили интереса к трояну, и позже он был выпущен бесплатно.

Однако Крукс решил дать ему еще один шанс. Несколько месяцев назад они взяли Xerxes, добавили несколько новых функций и переименовали его в BlackRock.

На первый взгляд идеальное сочетание проверенных и проверенных методов и новых, расширенных возможностей

Согласно отчету Threat Fabric, BlackRock представляет собой преимущественно приложение для обновлений Google и, по крайней мере, на данный момент загружается исключительно со сторонних веб-сайтов и магазинов приложений. В процессе установки запрашивается доступ к службам специальных возможностей Android. Через них он предоставляет себе дополнительные привилегии и проводит кражу информации, рисуя наложения поверх других приложений. Это, надо сказать, не совсем революционно. Многие другие семейства вредоносных программ для Android работают точно так же. Использование рабочих профилей Android, однако, является новым.

Рабочие профили Android могут использоваться компаниями для контроля доступа сотрудников, когда они находятся в пути. Авторы BlackRock осознали, что с помощью этой функции они могут создать новый профиль с правами администратора и получить полный контроль над устройством.

Это дает им возможность инструктировать вредоносную программу для выполнения всевозможных команд, отправляемых сервером управления и контроля (C & C). К ним относятся ведение блога, отправка и кража текстовых сообщений, запуск приложений, получение и скрытие push-уведомлений, блокировка антивирусных приложений и т. Д.

Авторы BlackRock нацелены на более чем 300 приложений

Конечно, основной целью BlackRock является кража пользовательской информации. Более конкретно, это после имен пользователей, паролей и данных кредитной карты, и его механизм для кражи данных довольно прост. Он видит, когда пользователи собираются взаимодействовать с одним из целевых приложений, и использует собранные разрешения, чтобы нарисовать поддельную форму входа или страницу оформления заказа над легитимным приложением. Имена пользователей, пароли и данные кредитной карты, введенные в поддельные формы, отправляются в C & C. Оверлеи загружаются и сохраняются на устройстве, и они довольно хорошо олицетворяют целевые приложения, что неудивительно, учитывая тот факт, что BlackRock основан на LokiBot.

Что примечательно, так это огромный список приложений, на которые нацелены мошенники. Согласно Threat Fabric, целевой список содержит не менее 337 приложений. Большинство из них связаны с европейскими банками, но исследователи отметили, что хакеры также охотятся за пользователями некоторых социальных сетей и приложений для жизни. В этих приложениях хакеры используют данные кредитных карт, а не учетные данные для входа в систему, и эксперты считают, что их присутствие в списке целей может быть связано с увеличением использования таких приложений людьми во время пандемии COVID-19.

С BlackRock хакеры действительно широко используют сеть, и они, очевидно, думают, что это сделает новый троян более успешным, чем его предшественники. Надеюсь, этого не произойдет, и BlackRock умрет так же быстро, как и Xerxes, Parasite, MysteryBot и LokiBot.