BlackRock Trojan er en af de nyeste Android-trojanere, der af mange er vurderet til at være en af de farligste trusler, der er blevet udviklet til Googles mobile operativsystem. Dette er en bank-trojan, som menes at stamme fra koden til Xerxes, en af de opgraderede versioner af LokiBot.
BlackRock Trojan er den nye trussel til Googles operativsystem
BlackRock Trojan er en ny farlig Android malware, der falder ind under kategorien a bank Trojan. Da prøverne, der var forbundet med det, ikke var kendt af sikkerhedsforskerne, blev der foretaget en analyse af de indsamlede prøver. Dette har ført til et dybtgående blik, der viser, at truslen faktisk er en meget kompleks malware, som ikke var kendt i dette øjeblik. Kodestykker, der har vist sig at være indeholdt i den, viser, at udviklerne har taget flere dele af Xerxes bank Trojan, som i sig selv er baseret på LokiBot. Sporing af udviklingen af Xerxes viser, at dens kode blev gjort pubisk sidste år — dette betyder, at enhver hackinggruppe eller individuel malware-udvikler kunne have adgang til den og oprette deres eget derivat.
Indtil videre ser det ud til, at BlackRock Android Trojan er den eneste komplette derivat af Xerxes, som igen er baseret på LokiBot, som i mange år var et af de farligste eksempler på Android-vira.
Den originale LokiBot-malware bliver nu sjældent brugt af computerhacker til at inficere mobule-afvigelser, men der foretages konstant sådanne afvigelser af forskellige hackinggrupper. BlackRock er adskilt fra de fleste af de tidligere Android-bank-trojanere i den forstand, at den inkluderer en liste over meget store mål — adresser på netværk af enheder, der tilhører individuelle brugere og virksomheder. BlackRock Android Trojan bruger den velkendte taktik inficerer almindeligt installerede applikationer med den nødvendige viruskode. Eksempler er følgende:
- Sociale netværksapps
- Messsenger-apps
- Datingtjenester
- Kommunikationsprogrammer
Disse virusinficerede applikationer kan distribueres vha fælles distributionstaktik. De kan være upload af de farlige apps til de officielle oplagringssteder ved hjælp af falske eller stjålne udvikleroplysninger. I dette tilfælde kan hackere også placere brugerkommentarer og uploade store beskrivelser, der lover nye funktioner tilføjelser eller ydeevne forbedringer.
Den komplette liste over kapret BlackRock Trojan-filer viser følgende navne:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android og com.finansbank.mobile.cepsube
Vi minder vores brugere om, at det ikke er et krav, at virussen er indbygget i disse applikationer. For det meste er de velkendte og legitime tjenester, og nøjagtigt på grund af deres popularitet på tværs af Android-brugere er de blevet brugt som nyttelastbærere for BlackRock Trojan.
BlackRock Trojan kapaciteter: Hvad er dens Android Malware-funktioner?
Så snart BlackRock Android Trojan er installeret på en given enhed, vil den starte en række ondsindede handlinger. Processen er skjult for brugerne, og den farlige transportør vil være skjult for appskuffen. Den anden fase er at påkalde en prompt som vil bede brugen om at tillade privilegier til en Serviceproces for tilgængelighed. Dette kan vises som en legitim systemmeddelelse, og de fleste brugere klikker automatisk på den og ser bort fra den. I øjeblikket bruger den aktive kampagne en Brug falske meddelelser fra Google Update som vil blive spawned.
De givne tilladelser vil give yderligere provilegier, der giver yderligere adgang til Trojan, hvilket muliggør alle dens funktioner. BlackRock Android Trojan vil installere en lokal klient, der vil oprette forbindelse til en hacker-kontrolleret server, der giver kriminelle mulighed for at udføre komplekse kommandoer. I øjeblikket det følgende ondsindede kommandoer er understøttet:
- Send_SMS — Dette vil sende en SMS fra den inficerede enhed
- Flood_SMS — Dette vil løbende sende SMS-beskeder til et givet nummer hver 5 sekunder
- Download_SMS — Kopi af SMS-beskeder på enheden sendes til hackere
- Spam_on_contacts — Dette sender SMS-beskeder til hver af de optagede kontakter på enheden
- Change_SMS_Manager — Dette vil indstille en virusapp som standard SMS manager
- Run_App — Dette kører en bestemt applikation
- StartKeyLogs — Dette starter et keylogger-modul
- StopKeyLogs — Dette stopper keylogger-modulet
- StartPush — Dette vil sende alt meddelelsesindhold til hackere
- Stop push — Dette stopper med at sende meddelelserne
- Hide_Screen_Lock — Dette holder enheden på startskærmen
- Unlock_Hide_Screen — Dette vil låse enheden op fra startskærmen
- Admin — Dette vil anmode om de administrative rettigheder fra systemet
- Profil — Dette tilføjer en administreret administratorprofil, der vil blive brugt af malware
- Start_clean_Push — Dette skjuler alle push-meddelelser
- Stop_clean_Push — Dette afviser alle aktive push-meddelelser
BlackRock Android Trojan inkluderer alle almindelige funktioner, der er en del af bank-trojanere – muligheden for at tilslutte systemprocesser og kapre brugerdata. Ved hjælp af den direkte forbindelse, der oprettes til den hackerstyrede server, kan alt overføres i realtid. Den anvendte Keylogger-funktionalitet er særlig farlig, da den kan spore alle brugeres interaktion.
Banktrojaner efter design er designet til stjæle følsomme legitimationsoplysninger fra finansielle tjenester ved at kapre brugeroplysninger eller overvåge deres handlinger. Der er et par mulige scenarier, der inkluderer opsætning af et overlay, der vil blive placeret øverst på loginskærmbillederne. Hvis offerbrugerne indtaster deres data, vil de automatisk blive videresendt til hackere.
Da de fleste online banker og finansielle tjenester bruger en slags tofaktorautentifikation, kan Trojan også fange SMS-beskeder, der indeholder verifikationskoder. BlackRock Trojan inkluderer også muligheden for at tæller installeret sikkerhedstjenester ved at lede efter deres tjenester og deaktivere dem. Dette kan omfatte praktisk talt alle vigtige applikationskategorier: firewalls, intrusion detection systemer, antivirusprogrammer og osv.
Som andre populære Android-trojanere kan det oprette en identifikationskode — dette gøres ved en proces, der tager forskellige inputdata, såsom hardwarekomponenter, styresystemvariabler osv.
Angrebene er fortsat fortsat, men hackinggruppens identitet er ikke kendt. Der er identificeret en masse prøver, der bærer underskrifterne fra BlackRock, hvilket betyder, at kampagnen stadig kører.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig:
Tak for informationen om Blackrock. Jeg håber, at en app kan anvendes og udjævne denne bedragerske virus.