Когда банковский троян расширяет свое действие на нефинансовые приложения, ситуация может стать довольно пугающей. Нечто похожее произошло с новой вредоносной программой, последователем банковского трояна «Lokibot», которая расширила свою сферу активности до основных нефинансовых приложений, включая приложения для чата, знакомств, игр и социальных сетей.
Представляем троян «BlackRock»
На днях исследователи ThreatFabric опубликовали отчет о своей находке банковского трояна «BlackRock», работающего под мобильную ОС Android. Впервые обнаруженный в мае 2020 года, «BlackRock» может украсть учетные данные и информацию о кредитных картах из списка 337 финансовых, сетевых, коммуникационных приложений, приложений для знакомств и социальных сетей.
- «BlackRock» маскируется под Google Update для повышения привилегий и скрывает свою иконку после заражения устройства.
- Как только привилегии получены, «BlackRock» выдает себе дополнительные разрешения, так что он может полноценно функционировать, не требуя никакого дальнейшего взаимодействия с пользователем.
- Его функции включают в себя возможность выполнять overlay-атаки, выполнять функции кейлоггера, рассылки спама и кражи SMS-сообщений, пересылка системных уведомлений на сервер C2, а также отклонение использования антивируса или программного обеспечения для очистки системы.
Длинный список затронутых приложений
Вредоносная кампания «BlackRock» продолжаются некоторое время, и теперь сопровождается расширенным списком затронутых приложений.
В список «BlackRock» входят 226 приложений из которых троян может похитить учетные данные, в том числе Gmail, Microsoft Outlook, Google Play, Uber, Amazon, eBay, Netflix, Cash App, а также несколько приложений для крипто-валютных кошельков, таких как Coinbase, Binance, Coinbase, мобильные банки Santander, Barclays, Royal Bank of Scotland, Lloyds, ING,Wells Fargo и многие другие.
Целевой список трояна для кражи кредитных карт содержит 111 приложений, включая Twitter, Skype, Snapchat, Telegram, WhatsApp, Instagram, Facebook, Play Store, YouTube, VK, Reddit, TikTok, Mamba, Tinder, Badoo, и Grindr.
Происхождение вредоносного ПО
«BlackRock» разработан на основе кода банковской вредоносной программы «Xerxes» (замечена в мае 2019 года), которая сама по себе является штаммом трояна «LokiBot» для Android-банкинга. «BlackRock» - единственный известный на сегодняшний день банковский троян под Android, основанный на утечке исходного кода трояна «Xerxes».
Перевод сделан со статьи https://cyware.com/