Ένα νέο στέλεχος Android malware που ονομάζεται BlackRock έχει εμφανιστεί στον εγκληματικό υπόκοσμο και έρχεται εξοπλισμένο με ένα ευρύ φάσμα δυνατοτήτων κλοπής δεδομένων που του επιτρέπουν να στοχεύσει 337 εφαρμογές Android.
Αυτή η νέα απειλή εμφανίστηκε τον Μάιο του τρέχοντος έτους και ανακαλύφθηκε από την εταιρεία κινητής ασφάλειας ThreatFabric.
Οι ερευνητές λένε ότι το malware βασίστηκε στον διαρροή πηγαίου κώδικα ενός άλλου στελέχους malware (Xerxes, βασισμένο σε άλλα στελέχη κακόβουλου λογισμικού), αλλά ενισχύθηκε με πρόσθετες δυνατότητες, ειδικά από την πλευρά που ασχολείται με την κλοπή κωδικών πρόσβασης χρηστών και πληροφοριών πιστωτικής κάρτας.
Το BlackRock εξακολουθεί να λειτουργεί όπως τα περισσότερα trojan Android banking, εκτός από το ότι στοχεύει περισσότερες εφαρμογές από τους περισσότερους προκατόχους του.
To trojan θα κλέψει και τα login credentials (όνομα χρήστη και κωδικό πρόσβασης), όπου είναι διαθέσιμα, αλλά θα ζητήσει επίσης από το θύμα να εισαγάγει τα στοιχεία της κάρτας πληρωμής εάν οι εφαρμογές υποστηρίζουν οικονομικές συναλλαγές.
Για την ThreatFabric, η συλλογή δεδομένων πραγματοποιείται μέσω μιας τεχνικής που ονομάζεται “overlays”, η οποία εφαρμόζεται όταν ο χρήστης προσπαθεί να αλληλεπιδράσει με μια νόμιμη εφαρμογή και εμφανίζει ένα ψεύτικο παράθυρο στην κορυφή που συλλέγει τα στοιχεία σύνδεσης και τα δεδομένα της κάρτας του θύματος πριν επιτρέψει στον χρήστη να τα εισάγει στην προβλεπόμενη νόμιμη εφαρμογή.
Σε μια έκθεση που κυκλοφόρησε αυτήν την εβδομάδα, οι ερευνητές της ThreatFabric αναφέρουν ότι η συντριπτική πλειονότητα των BlackRock overlays προσανατολίζεται σε εφαρμογές phishing χρηματοοικονομικών και κοινωνικών μέσων. Ωστόσο, περιλαμβάνονται επίσης overlays για phishing δεδομένων από εφαρμογές γνωριμιών, ειδήσεων, αγορών, lifestyle και παραγωγικότητας.
Εκτός από τα overlays, το BlackRock δεν είναι τόσο μοναδικό καθώς λειτουργεί όπως τα περισσότερα malware Android αυτές τις μέρες και χρησιμοποιεί παλιές και δοκιμασμένες τεχνικές.
Μόλις εγκατασταθεί σε μια συσκευή, μια κακόβουλη εφαρμογή μολυσμένη με το trojan BlackRock ζητά από το χρήστη να του παραχωρήσει πρόσβαση στη δυνατότητα προσβασιμότητας του τηλεφώνου.
Το χαρακτηριστικό Android Accessibility είναι μία από τις πιο ισχυρές δυνατότητες του λειτουργικού συστήματος, καθώς μπορεί να χρησιμοποιηθεί για την αυτοματοποίηση εργασιών και ακόμη και την πραγματοποίηση “κλικ” για λογαριασμό του χρήστη.
Το BlackRock χρησιμοποιεί το Android Accessibility για να αποκτήσει πρόσβαση σε άλλα δικαιώματα Android και, στη συνέχεια, χρησιμοποιεί ένα Android DPC (ελεγκτής πολιτικής συσκευής, γνωστό και ως προφίλ εργασίας) για να δώσει στον εαυτό του πρόσβαση διαχειριστή στη συσκευή.
Στη συνέχεια, χρησιμοποιεί αυτήν την πρόσβαση για να εμφανίσει τα κακόβουλα overlays, αλλά η ThreatFabric λέει ότι το trojan μπορεί επίσης να εκτελέσει άλλες ενοχλητικές λειτουργίες, όπως:
- Παρακολούθηση μηνυμάτων SMS
- Ανεπιθύμητες επαφές με προκαθορισμένα SMS
- Να κάνει εκκίνηση συγκεκριμένων εφαρμογών
- Λειτουργία keylogger
- Εμφάνιση προσαρμοσμένων ειδοποιήσεων push
- Να κάνει σαμποτάζ σε antivirus apps
Προς το παρόν, το BlackRock διανέμεται μεταμφιεσμένο ως πλαστό πακέτο update της Google που προσφέρεται σε ιστότοπους τρίτων και δεν έχει εντοπιστεί ακόμη στο επίσημο Play Store.
Ωστόσο, οι συμμορίες κακόβουλου λογισμικού Android έχουν βρει τρόπους για να παρακάμψουν τη διαδικασία ελέγχου της εφαρμογής από την Google και σε κάποιο σημείο, πιθανότατα θα δούμε το BlackRock να κυκλοφορεί στο Play Store.
