Der BlackRock-Trojaner ist einer der neuesten Android-Trojaner, der von vielen als eine der gefährlichsten Bedrohungen eingestuft wird, die für das mobile Betriebssystem von Google entwickelt wurden. Dies ist ein Banking-Trojaner, von dem angenommen wird, dass er aus dem Code von Xerxes abgeleitet ist, eine der aktualisierten Versionen von LokiBot.
Der BlackRock-Trojaner ist die neue Bedrohung für das Google-Betriebssystem
Der BlackRock-Trojaner ist eine neue gefährliche Android-Malware, die unter die Kategorie a fällt Banking-Trojaner. Da die damit verbundenen Proben den Sicherheitsforschern nicht bekannt waren, wurde eine Analyse der gesammelten Proben durchgeführt. Dies hat zu einer eingehenden Untersuchung geführt, die zeigt, dass es sich bei der Bedrohung tatsächlich um eine sehr komplexe Malware handelt, die bis jetzt nicht bekannt war. Code-Schnipsel, die darin enthalten sind, zeigen, dass die Entwickler mehrere Teile des übernommen haben Xerxes Banking-Trojaner, auf dem selbst basiert LokiBot. Die Verfolgung der Entwicklung von Xerxes zeigt, dass der Code letztes Jahr veröffentlicht wurde — Dies bedeutet, dass jede Hacking-Gruppe oder jeder einzelne Malware-Entwickler darauf zugreifen und ein eigenes Derivat erstellen könnte.
Bisher scheint es, dass die Der BlackRock Android-Trojaner ist das einzige vollständige Derivat von Xerxes, das wiederum auf LokiBot basiert, das viele Jahre lang eines der gefährlichsten Beispiele für Android-Viren war.
Die ursprüngliche LokiBot-Malware wird heutzutage nur noch selten von Computerhackern verwendet, um Mobule-Devies zu infizieren. Solche Derivationen werden jedoch ständig von verschiedenen Hacking-Gruppen durchgeführt. BlackRock unterscheidet sich von den meisten früheren Android-Banking-Trojanern in dem Sinne, dass es a enthält sehr große Zielliste — Adressen von Gerätenetzwerken einzelner Benutzer und Unternehmen. Der BlackRock Android-Trojaner verwendet die bekannte Taktik von Infizieren häufig installierter Anwendungen mit dem notwendigen Virencode. Beispiele hierfür sind die folgenden:
- Social Network Apps
- Messsenger Apps
- Dating-Dienste
- Kommunikationsprogramme
Diese mit Viren infizierten Anwendungen können mithilfe von verteilt werden gemeinsame Verteilungstaktiken. Dies kann das Hochladen der gefährlichen Apps in die offiziellen Repositories sein, indem gefälschte oder gestohlene Entwickleranmeldeinformationen verwendet werden. In diesem Fall können die Hacker auch Benutzerkommentare platzieren und umfangreiche Beschreibungen hochladen, die neue Funktionen oder Leistungsverbesserungen versprechen.
Die vollständige Liste von entführte BlackRock-Trojaner-Dateien listet die folgenden Namen auf:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android und com.finansbank.mobile.cepsube
Wir erinnern unsere Benutzer daran, dass der Virus nicht in diese Anwendungen integriert werden muss. Zum größten Teil handelt es sich um bekannte und legitime Dienste, und genau aufgrund ihrer Beliebtheit bei Android-Benutzern wurden sie als Nutzlastträger für den BlackRock-Trojaner verwendet.
BlackRock-Trojaner-Funktionen: Was sind die Android-Malware-Funktionen??
Sobald der BlackRock Android-Trojaner auf einem bestimmten Gerät installiert ist, wird eine Reihe von böswilligen Aktionen gestartet. Der Prozess ist für die Benutzer verborgen und der gefährliche Nutzlastträger wird für die App-Schublade ausgeblendet. Die zweite Stufe besteht darin, a aufzurufen Aufforderung die fragt die Verwendungen, um Privilegien zu einem zu erlauben Accessibility Service-Prozess. Dies kann als legitime Systemmeldung angezeigt werden, und die meisten Benutzer klicken automatisch darauf und ignorieren sie. Im Moment verwendet die aktive Kampagne a Verwenden Sie eine gefälschte Google Update-Nachricht welches erzeugt wird.
Die angegebenen Berechtigungen gewähren zusätzliche Berechtigungen, die zusätzlichen Zugriff auf den Trojaner ermöglichen und somit alle seine Funktionen ermöglichen. Der BlackRock Android-Trojaner installiert einen lokalen Client, der eine Verbindung zu einem von Hackern kontrollierten Server herstellt, über den die Kriminellen komplexe Befehle ausführen können. Im Moment das Folgende böswillige Befehle werden unterstützt:
- SMS senden — Dadurch wird eine SMS vom infizierten Gerät gesendet
- Flood_SMS — Dadurch werden kontinuierlich SMS-Nachrichten an eine bestimmte Nummer gesendet 5 Sekunden
- Download_SMS — Eine Kopie der SMS-Nachrichten auf dem Gerät wird an die Hacker gesendet
- Spam_on_contacts — Dadurch werden SMS-Nachrichten an jeden der aufgezeichneten Kontakte auf dem Gerät gesendet
- Change_SMS_Manager — Dadurch wird eine Viren-App als Standard-SMS-Manager festgelegt
- Run_App — Dadurch wird eine bestimmte Anwendung ausgeführt
- StartKeyLogs — Dadurch wird ein Keylogger-Modul gestartet
- StopKeyLogs — Dadurch wird das Keylogger-Modul gestoppt
- StartPush — Dadurch werden alle Benachrichtigungsinhalte an die Hacker gesendet
- Stop Push — Dadurch werden die Benachrichtigungen nicht mehr gesendet
- Hide_Screen_Lock — Dadurch bleibt das Gerät auf dem Startbildschirm
- Unlock_Hide_Screen — Dadurch wird das Gerät vom Startbildschirm entsperrt
- Admin — Dadurch werden die Administratorrechte vom System angefordert
- Profil — Dadurch wird ein verwaltetes Administratorprofil hinzugefügt, das von der Malware verwendet wird
- Start_clean_Push — Dadurch werden alle Push-Benachrichtigungen ausgeblendet
- Stop_clean_Push — Dadurch werden alle aktiven Push-Benachrichtigungen geschlossen
Der BlackRock Android-Trojaner enthält alle allgemeinen Funktionen, die Teil von Banking-Trojanern sind – die Möglichkeit, sich an Systemprozesse anzuschließen und Benutzerdaten zu entführen. Über die Live-Verbindung zum hackergesteuerten Server kann alles in Echtzeit übertragen werden. Die bereitgestellte Keylogger-Funktionalität ist besonders gefährlich, da sie alle Benutzerinteraktionen verfolgen kann.
Banking-Trojaner sind von Natur aus darauf ausgelegt stehlen vertrauliche Anmeldeinformationen von Finanzdienstleistungen durch Entführen von Benutzeranmeldeinformationen oder Überwachen ihrer Aktionen. Es gibt einige mögliche Szenarien, in denen ein Overlay eingerichtet wird, das über den Anmeldebildschirmen platziert wird. Wenn die Benutzer des Opfers ihre Daten eingeben, werden diese automatisch an die Hacker weitergeleitet.
Da die meisten Online-Banken und Finanzdienstleister eine Zwei-Faktor-Authentifizierung verwenden, kann der Trojaner auch SMS-Nachrichten mit Bestätigungscodes erfassen. Der BlackRock-Trojaner bietet auch die Möglichkeit dazu Zähler installierte Sicherheitsdienste indem Sie nach ihren Diensten suchen und sie deaktivieren. Dies kann praktisch alle wichtigen Anwendungskategorien umfassen: Firewalls, Einbrucherkennungssystem, Antivirenprogramme und etc..
Wie andere beliebte Android-Trojaner kann es eine erstellen Identifikationsnummer — Dies erfolgt durch einen Prozess, der verschiedene Eingabedaten wie die Hardwarekomponenten verwendet, Betriebssystemvariablen und etc..
Die Angriffe dauern noch an, die Identität der Hacking-Gruppe ist jedoch nicht bekannt. Es wurden viele Beispiele mit den Signaturen von BlackRock identifiziert, was bedeutet, dass die Kampagne noch läuft.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir:
Vielen Dank für die Informationen über Blackrock. Ich hoffe, dass eine App angewendet werden kann, um diesen betrügerischen Virus zu vertreiben.