Le malware BlackRock cible les applications bancaires

Un nouveau malware bancaire se propage sur les appareils Android. Il utilise le code source du malware désormais disparu Xerxes et une variante encore plus ancienne appelée LokiBot. Les pirates utilisent le logiciel malveillant pour cibler des applications qui ont déjà été manipulées dans d'autres campagnes de logiciels malveillants.

Les systèmes d'exploitation évoluent constamment, tout comme les chevaux de Troie bancaires qui veulent se nicher sur ces systèmes. Lorsque les chevaux de Troie sont cachés dans les applications, ils sont généralement détectés avant de pouvoir être distribués via les magasins d'applications officiels. Par conséquent, les cybercriminels les proposent principalement via des magasins d'applications non officiels et des sites Web louches.

Lorsqu'une nouvelle version d'Android est publiée, l'ancien logiciel malveillant cesse de fonctionner. De nouvelles versions apparaissent donc, principalement basées sur l'ancien code. La variante actuelle de BlackRock z. B. utilise des éléments de code qui datent en partie de 4 ans.

ThreatFabric a enquêté sur le comportement de BlackRock une fois que le logiciel malveillant a infecté un appareil. Comme prévu, toutes les données peuvent être manipulées. "Lorsque le logiciel malveillant s'exécute pour la première fois sur l'appareil, la première chose qu'il fait est de masquer l'icône de l'application afin que l'utilisateur ne le remarque pas", expliquent les experts en logiciels malveillants. "Ensuite, l'application demandera à l'utilisateur de lui accorder les droits d'accessibilité Android. Il se déguise souvent en une mise à jour de Google. »

La fonctionnalité d'accessibilité sur Android a un objectif complètement différent, mais elle est très complète et, par conséquent, elle est souvent utilisée par les auteurs de logiciels malveillants pour obtenir les autorisations nécessaires.

BlackRock espionne les détails des cartes de crédit et les mots de passe bancaires

BlackRock peut envoyer des SMS, envoyer des copies SMS d'e-mails personnels au centre de contrôle et de commande, lancer des applications au démarrage, forcer les appareils à rester sur l'écran d'accueil, ajouter un profil d'administrateur d'appareil pour l'application, etc.

Puisqu'il s'agit d'un cheval de Troie bancaire, il tentera de voler les détails de la carte de crédit et les mots de passe bancaires, soit en saisissant des formulaires, soit en utilisant des superpositions de phishing spécifiques à l'application. Le logiciel malveillant dirige l'utilisateur vers les fichiers stockés localement au lieu de la version en ligne, puis les données sont envoyées au centre C&C.

De nombreuses applications infectées par le logiciel malveillant n'ont rien à voir avec la finance, mais sont des applications de médias sociaux, de messagerie texte ou de rencontres. De nombreuses données peuvent être exploitées ici, ce qui peut à son tour être utile dans d'autres campagnes. Parmi les cibles visées figurent principalement les banques et les utilisateurs européens, suivis par les australiens et les nord-américains.