Möt BlackRock, det skadliga programmet som kan stjäla lösenord och kreditkortsdata från hundratals Android-appar

Du kanske inte blir förvånad över att, liksom de flesta saker i den virtuella världen, malware fortfarande förändras och utvecklas. Hackare slutar inte förbättra sin skadliga kod, och ibland kopierar de funktioner och moduler från en eller flera stammar, lägger till en del av sin egen funktionalitet och skapar helt nya hot. Förra veckan granskade forskare från Threat Fabric BlackRock, en nykomling i Android-hotlandskapet, och visade oss hur allt fungerar ibland.

BlackRock - ursprunget

BlackRock kan spåra sina rötter tillbaka till LokiBot, en en gång populär Android bank-trojan som dök upp i slutet av 2016. Inledningsvis körde LokiBots författare en malware-as-a-service-operation och hyrde trojanen till andra hackare som var villiga att betala för den. Vid ett tillfälle blev malware-skaparen emellertid förbjuden från några av de populära underjordiska forumen och deras verksamhet fick ett massivt slag som ett resultat. Förmodligen på grund av detta, kort därefter, läckte LokiBots källkod ut.

Hotskådespelare behövde inte en andra inbjudan. I början av 2018 släppte de MysteryBot - en förbättrad version av LokiBot som fungerade bättre på nyare Android-enheter och hade mer avancerade möjligheter att stjäla information. Trots uppgraderingarna imponerades inte hackningssamhället, och några månader senare bestämde en grupp hackare sig för att gå igen. De tog MysteryBot, lade till några nya funktioner och släppte Parasite.

Olyckligtvis för dem har Parasite aldrig tagit på sig, och den bleknade för otydlighet ganska snabbt. Hackarna hade dock inte helt gett upp. I maj 2019 släppte de Xerxes, en ny uppgradering av samma Android-trojan. I verklig LokiBot-tradition ville Xerxes författare sälja tillgång till skadlig programvara på de underjordiska forumen, men deras kollegor på internet visade inget intresse för trojanen och släpptes senare gratis.

Crooks beslutade dock att ge det ännu en chans. För några månader sedan tog de Xerxes, lade till några nya funktioner och märkte om det som BlackRock.

En till synes perfekt kombination av beprövade tekniker och nya, avancerade funktioner

Enligt Threat Fabric's rapport poserar BlackRock främst som en Google Updates-applikation och laddas för närvarande uteslutande från tredjepartswebbplatser och appbutiker. Under installationsprocessen ber den om åtkomst till Android: s tillgänglighetstjänster. Genom dem ger det sig ytterligare behörigheter och genomför informationstjäning genom att dra överlägg över andra appar. Detta måste sägas är inte exakt revolutionerande. Många andra Android-skadliga programvaror fungerar på exakt samma sätt. Användningen av Android Work-profiler är dock ny.

Android Work-profiler kan användas av företag för att kontrollera anställdas tillgång medan de är på resande fot. BlackRocks författare har insett att de via funktionen kan skapa en ny profil med administrativa privilegier och få fullständig kontroll över enheten.

Detta sätter dem i stånd att instruera skadlig programvara att utföra alla typer av kommandon som skickas av Command & Control-servern (C&C). Dessa inkluderar keylogging, skicka och stjäla textmeddelanden, köra applikationer, hämta och dölja push-meddelanden, blockera antivirusprogram etc.

BlackRocks författare riktar sig till mer än 300 applikationer

Naturligtvis är BlackRocks huvudsakliga syfte att stjäla användarinformation. Mer specifikt är det efter användarnamn, lösenord och kreditkortsuppgifter, och dess mekanism för att överföra informationen är ganska enkel. Den ser när användarna är på väg att interagera med en av de riktade applikationerna, och den använder behörigheterna som den har samlat för att rita en falsk inloggningsformulär eller kassasida över den legitima appen. Användarnamn, lösenord och kreditkortsuppgifter som anges i falska formulär skickas till C&C. Överlagringarna laddas ner och lagras på enheten, och de efterliknar de riktade applikationerna ganska bra, vilket inte är förvånande med tanke på att BlackRock är baserat på LokiBot.

Det som är anmärkningsvärt är dock den enorma listan med applikationer som skurkarna riktar sig mot. Enligt Threat Fabric innehåller mållistan inte färre än 337 appar. De flesta av dem är relaterade till europeiska banker, men forskarna noterade att hackarna också efter användare av vissa sociala nätverk och livsstilsapplikationer. Med dessa appar är hackarna efter kreditkortsdata snarare än inloggningsuppgifter, och experterna tror att deras närvaro på mållistan kan ha något att göra med människors ökade användning av sådana applikationer under COVID-19-pandemin.

Med BlackRock kastar hackarna verkligen nätet bredt, och de tror tydligen att detta kommer att göra den nya trojanen mer framgångsrik än dess föregångare. Förhoppningsvis kommer detta inte att hända, och BlackRock kommer att dö lika snabbt som Xerxes, Parasite, MysteryBot och LokiBot.