Новое вредоносное ПО BlackRock для Android может похищать пароли и данные карт из 337 приложений

В криминальном преступном мире появилось новое вредоносное ПО для Android, которое оснащено широким спектром возможностей кражи данных, позволяющих нацеливаться на колоссальные 337 приложений Android.

Эта новая угроза, получившая название BlackRock, появилась в мае этого года и была обнаружена компанией по обеспечению безопасности мобильных устройств ThreatFabric.

Исследователи говорят, что вредоносное ПО было основано на утечке исходного кода другого типа вредоносного ПО (Xerxes, основано на других разновидностях вредоносного ПО), но было расширено за счет дополнительных функций, особенно на стороне, связанной с кражей пользовательских паролей и информация о кредитной карте.

BlackRock по-прежнему работает, как и большинство банковских троянов Android, за исключением того, что он нацелен на большее количество приложений, чем большинство его предшественников.

Троян будет похищать учетные данные для входа в систему (имя пользователя и пароли), где это возможно, но также будет предлагать жертве ввести данные платежной карты, если приложения поддерживают финансовые транзакции.

Согласно ThreatFabric, сбор данных происходит с помощью метода, называемого «оверлейными программами», который состоит из обнаружения, когда пользователь пытается взаимодействовать с легитимным приложением, и показа поддельного окна в верхней части, которое собирает данные для входа жертвы и данные карты перед разрешение пользователю войти в предполагаемое законное приложение.

В отчете, опубликованном ZDNet на этой неделе перед публикацией, исследователи ThreatFabric говорят, что подавляющее большинство оверлеев BlackRock ориентированы на фишинговые приложения для финансовых и социальных сетей / коммуникаций. Тем не менее, существуют также наложения для фишинговых данных из приложений для знакомств, новостей, покупок, образа жизни и производительности. Полный список целевых приложений включен в отчет BlackRock.

Чтобы показать оверлеи, BlackRock не настолько уникален, а BlackRock работает как большинство вредоносных программ для Android в наши дни и использует старые, проверенные и проверенные методы.

После установки на устройство вредоносное приложение, зараженное трояном BlackRock, просит пользователя предоставить ему доступ к функции доступности телефона.

Функция специальных возможностей Android — одна из самых мощных функций операционной системы, так как она может использоваться для автоматизации задач и даже выполнения касаний от имени пользователя.

BlackRock использует функцию «Доступность», чтобы предоставить себе доступ к другим разрешениям Android, а затем использует Android DPC (контроллер политики устройства, он же рабочий профиль), чтобы предоставить себе доступ администратора к устройству.

Затем он использует этот доступ для отображения вредоносных оверлеев, но ThreatFabric говорит, что троян также может выполнять другие навязчивые операции, такие как:

• Перехват SMS-сообщений
• Выполнение SMS-рассылок
• Спам-контакты с предопределенными SMS-сообщениями
• Запуск определенных приложений
• Журналы нажатий клавиш (функция кейлоггера)
• Отображение пользовательских push-уведомлений
• Саботаж мобильных антивирусных приложений и многое другое

В настоящее время BlackRock распространяется в виде поддельных пакетов обновлений Google, предлагаемых на сторонних сайтах, а троян еще не был обнаружен в официальном магазине Play Store. ,

Однако в прошлом банды вредоносных программ для Android обычно находили способы обойти процесс проверки приложений Google, и в тот или иной момент мы, скорее всего, увидим, что BlackRock развернут в магазине Play.