認識BlackRock,這種惡意軟件可以從數以百計的Android應用程序中竊取密碼和信用卡數據

BlackRock Android Malware

就像虛擬世界中的大多數事物一樣,惡意軟件會不斷變形和演化,您可能不會感到驚訝。黑客不會停止改進其惡意代碼,有時,他們會復制一種或多種病毒株的功能和模塊,添加自己的某些功能,並帶來全新的威脅。上週,來自Threat Fabric的研究人員回顧了 BlackRock(Android威脅領域的新手),並向我們展示了有時這一切如何工作。

貝萊德–起源

貝萊德(BlackRock)的根源可以追溯到LokiBot,LokiBot是曾經流行的Android銀行木馬,於2016年末出現。最初,LokiBot的作者運行了惡意軟件即服務操作,並將該木馬出租給了願意為此付費的其他黑客。但是,在某一時刻,該惡意軟件創建者被某些受歡迎的地下論壇所禁止,其業務因此遭受了沉重打擊。可能正因為如此,此後不久,LokiBot的源代碼被洩漏。

威脅演員不需要第二次邀請。他們在2018年初發布了MysteryBot,這是LokiBot的改進版本,可在較新的Android設備上更好地工作,並具有更高級的信息竊取功能。儘管進行了升級,但黑客社區並沒有留下深刻的印象,幾個月後,一群黑客決定再去一次。他們採用了MysteryBot,添加了一些新功能,並發布了Parasite。

對於他們來說不幸的是,Parasite從未流行,它也很快消失了。但是,黑客並沒有完全放棄。在2019年5月,他們發布了Xerxes,這是同一款Android木馬的另一種升級。按照LokiBot的真正傳統,Xerxes的作者想在地下論壇上出售對該惡意軟件的訪問權限,但他們的網絡犯罪分子對木馬沒有興趣,後來又免費發布。

騙子決定再給它一次機會。幾個月前,他們採用了Xerxes,添加了一些新功能,並將其更名為BlackRock。

久經考驗的技術與新的高級功能的完美結合

根據Threat Fabric的報告,貝萊德(BlackRock)主要構成Google更新應用程序,並且至少目前僅從第三方網站和應用程序商店下載。在安裝過程中,它會要求訪問Android的輔助功能。通過它們,它授予自己其他特權,並通過在其他應用程序上繪製覆蓋圖來進行信息竊取操作。必須說,這並不是完全革命性的。其他許多Android惡意軟件家族的工作方式也完全相同。但是,Android Work Profiles的使用是新的。

公司可以使用Android Work個人資料來控制員工在旅途中的訪問權限。貝萊德(BlackRock)的作者已經意識到,通過該功能,他們可以創建具有管理權限的新配置文件,並獲得對該設備的完全控制。

這使它們能夠指示惡意軟件執行命令與控制服務器(C&C)發送的所有命令。其中包括鍵盤記錄,發送和竊取文本消息,運行應用程序,檢索和隱藏推送通知,阻止防病毒應用程序等。

貝萊德的作者針對300多個應用程序

當然,貝萊德的主要目的是竊取用戶信息。更具體地說,它位於用戶名,密碼和信用卡詳細信息之後,並且其用於竊取數據的機制非常簡單。它查看用戶何時將與目標應用程序之一進行交互,並使用其已收集的權限在合法應用程序上繪製偽造的登錄表單或結帳頁面。假表中輸入的用戶名,密碼和信用卡詳細信息將發送到C&C。疊加層已下載並存儲在設備上,並且可以很好地模擬目標應用程序,考慮到BlackRock基於LokiBot的事實,這並不令人感到意外。

然而,引人注目的是騙子針對的大量應用程序。根據Threat Fabric,目標列表包含不少於337個應用程序。他們中的大多數與歐洲銀行有關,但研究人員指出,黑客還追隨某些社交網絡和生活方式應用程序的用戶。有了這些應用程序,黑客們就會追捕信用卡數據而不是登錄憑據,專家們認為,他們在目標列表中的存在可能與人們在COVID-19大流行期間對此類應用程序的使用增加有關。

使用貝萊德(BlackRock),黑客確實將網絡覆蓋了很多,他們顯然認為,這將使新特洛伊木馬比其前身更加成功。希望這不會發生,貝萊德將像Xerxes,Parasite,MysteryBot和LokiBot一樣快死掉。

July 20, 2020

發表評論