认识BlackRock,这种恶意软件可以从数以百计的Android应用程序中窃取密码和信用卡数据
与虚拟世界中的大多数事物一样,恶意软件会不断地变形和发展,您可能不会感到惊讶。黑客不会停止改进其恶意代码,有时,他们会复制一种或多种病毒的功能和模块,添加自己的某些功能,并带来全新的威胁。上周,来自Threat Fabric的研究人员对Android威胁领域的新手BlackRock 进行了评估 ,并向我们展示了有时这一切如何工作。
Table of Contents
贝莱德–起源
贝莱德(BlackRock)的根源可以追溯到LokiBot,LokiBot是曾经流行的Android银行木马,于2016年末出现。最初,LokiBot的作者运行了恶意软件即服务操作,并将该木马出租给了愿意为此付费的其他黑客。但是,在某一时刻,恶意软件创建者被一些受欢迎的地下论坛所禁止,其业务因此遭受了沉重打击。可能正因为如此,此后不久,LokiBot的源代码被泄漏。
威胁演员不需要第二次邀请。他们在2018年初发布了MysteryBot,这是LokiBot的改进版本,可在较新的Android设备上更好地工作,并具有更高级的信息窃取功能。尽管进行了升级,但黑客社区并没有留下深刻的印象,几个月后,一群黑客决定再去一次。他们采用了MysteryBot,添加了一些新功能,并发布了Parasite。
对于他们来说不幸的是,Parasite从未流行,它也很快消失了。但是,黑客并没有完全放弃。在2019年5月,他们发布了Xerxes,这是同一款Android木马的另一种升级。按照LokiBot的真正传统,Xerxes的作者想在地下论坛上出售对该恶意软件的访问权限,但他们的网络犯罪分子对木马没有兴趣,后来又免费发布。
骗子决定再给它一次机会。几个月前,他们采用了Xerxes,添加了一些新功能,并将其更名为BlackRock。
久经考验的技术与新的高级功能的完美结合
根据Threat Fabric的报告,贝莱德(BlackRock)主要是作为Google Updates应用程序构成的,至少目前暂时仅从第三方网站和应用程序商店下载。在安装过程中,它会要求访问Android的辅助功能。通过它们,它授予自己其他特权,并通过在其他应用程序上绘制覆盖图来进行信息窃取操作。必须说,这并不是完全革命性的。其他许多Android恶意软件家族的工作方式也完全相同。但是,Android Work Profiles的使用是新的。
公司可以使用Android Work个人资料来控制员工在旅途中的访问权限。贝莱德(BlackRock)的作者已经意识到,通过该功能,他们可以创建具有管理权限的新配置文件,并获得对该设备的完全控制。
这使它们能够指示恶意软件执行命令与控制服务器(C&C)发送的所有命令。这些包括键盘记录,发送和窃取文本消息,运行应用程序,检索和隐藏推送通知,阻止防病毒应用程序等。
贝莱德的作者针对300多个应用程序
当然,贝莱德的主要目的是窃取用户信息。更具体地说,它位于用户名,密码和信用卡详细信息之后,并且其用于窃取数据的机制非常简单。它查看用户何时将与目标应用程序之一进行交互,并使用其已收集的权限在合法应用程序上绘制伪造的登录表单或结帐页面。假表中输入的用户名,密码和信用卡详细信息将发送到C&C。叠加层已下载并存储在设备上,并且可以很好地模拟目标应用程序,考虑到BlackRock基于LokiBot的事实,这并不令人感到意外。
然而,引人注目的是骗子针对的大量应用程序。根据Threat Fabric,目标列表包含不少于337个应用程序。他们中的大多数与欧洲银行有关,但研究人员指出,黑客还关注某些社交网络和生活方式应用程序的用户。有了这些应用程序,黑客们就会追捕信用卡数据而不是登录凭据,专家认为他们在目标列表中的存在可能与人们在COVID-19大流行期间对此类应用程序的使用增加有关。
使用贝莱德(BlackRock),黑客确实将网络覆盖了很多,他们显然认为,这将使新木马比其前身更成功。希望这不会发生,贝莱德将像Xerxes,Parasite,MysteryBot和LokiBot一样快死掉。