Zuhause > Cyber ​​Aktuelles > Blackrock-Trojaner ist eine Android-Malware, von der angenommen wird, dass sie von Lokibot abstammt
CYBER NEWS

Blackrock-Trojaner ist eine Android-Malware, von der angenommen wird, dass sie von Lokibot abstammt

Der BlackRock-Trojaner ist einer der neuesten Android-Trojaner, der von vielen als eine der gefährlichsten Bedrohungen eingestuft wird, die für das mobile Betriebssystem von Google entwickelt wurden. Dies ist ein Banking-Trojaner, von dem angenommen wird, dass er aus dem Code von Xerxes abgeleitet ist, eine der aktualisierten Versionen von LokiBot.




Der BlackRock-Trojaner ist die neue Bedrohung für das Google-Betriebssystem

Der BlackRock-Trojaner ist eine neue gefährliche Android-Malware, die unter die Kategorie a fällt Banking-Trojaner. Da die damit verbundenen Proben den Sicherheitsforschern nicht bekannt waren, wurde eine Analyse der gesammelten Proben durchgeführt. Dies hat zu einer eingehenden Untersuchung geführt, die zeigt, dass es sich bei der Bedrohung tatsächlich um eine sehr komplexe Malware handelt, die bis jetzt nicht bekannt war. Code-Schnipsel, die darin enthalten sind, zeigen, dass die Entwickler mehrere Teile des übernommen haben Xerxes Banking-Trojaner, auf dem selbst basiert LokiBot. Die Verfolgung der Entwicklung von Xerxes zeigt, dass der Code letztes Jahr veröffentlicht wurde — Dies bedeutet, dass jede Hacking-Gruppe oder jeder einzelne Malware-Entwickler darauf zugreifen und ein eigenes Derivat erstellen könnte.

Bisher scheint es, dass die Der BlackRock Android-Trojaner ist das einzige vollständige Derivat von Xerxes, das wiederum auf LokiBot basiert, das viele Jahre lang eines der gefährlichsten Beispiele für Android-Viren war.

Die ursprüngliche LokiBot-Malware wird heutzutage nur noch selten von Computerhackern verwendet, um Mobule-Devies zu infizieren. Solche Derivationen werden jedoch ständig von verschiedenen Hacking-Gruppen durchgeführt. BlackRock unterscheidet sich von den meisten früheren Android-Banking-Trojanern in dem Sinne, dass es a enthält sehr große Zielliste — Adressen von Gerätenetzwerken einzelner Benutzer und Unternehmen. Der BlackRock Android-Trojaner verwendet die bekannte Taktik von Infizieren häufig installierter Anwendungen mit dem notwendigen Virencode. Beispiele hierfür sind die folgenden:

  • Social Network Apps
  • Messsenger Apps
  • Dating-Dienste
  • Kommunikationsprogramme

Diese mit Viren infizierten Anwendungen können mithilfe von verteilt werden gemeinsame Verteilungstaktiken. Dies kann das Hochladen der gefährlichen Apps in die offiziellen Repositories sein, indem gefälschte oder gestohlene Entwickleranmeldeinformationen verwendet werden. In diesem Fall können die Hacker auch Benutzerkommentare platzieren und umfangreiche Beschreibungen hochladen, die neue Funktionen oder Leistungsverbesserungen versprechen.

Die vollständige Liste von entführte BlackRock-Trojaner-Dateien listet die folgenden Namen auf:

ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android und com.finansbank.mobile.cepsube

Wir erinnern unsere Benutzer daran, dass der Virus nicht in diese Anwendungen integriert werden muss. Zum größten Teil handelt es sich um bekannte und legitime Dienste, und genau aufgrund ihrer Beliebtheit bei Android-Benutzern wurden sie als Nutzlastträger für den BlackRock-Trojaner verwendet.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/virus-infected-android-phones-us-program/ “] Mit Viren infizierte Android-Telefone, die über ein von den USA subventioniertes Programm verkauft werden

BlackRock-Trojaner-Funktionen: Was sind die Android-Malware-Funktionen??

Sobald der BlackRock Android-Trojaner auf einem bestimmten Gerät installiert ist, wird eine Reihe von böswilligen Aktionen gestartet. Der Prozess ist für die Benutzer verborgen und der gefährliche Nutzlastträger wird für die App-Schublade ausgeblendet. Die zweite Stufe besteht darin, a aufzurufen Aufforderung die fragt die Verwendungen, um Privilegien zu einem zu erlauben Accessibility Service-Prozess. Dies kann als legitime Systemmeldung angezeigt werden, und die meisten Benutzer klicken automatisch darauf und ignorieren sie. Im Moment verwendet die aktive Kampagne a Verwenden Sie eine gefälschte Google Update-Nachricht welches erzeugt wird.

Die angegebenen Berechtigungen gewähren zusätzliche Berechtigungen, die zusätzlichen Zugriff auf den Trojaner ermöglichen und somit alle seine Funktionen ermöglichen. Der BlackRock Android-Trojaner installiert einen lokalen Client, der eine Verbindung zu einem von Hackern kontrollierten Server herstellt, über den die Kriminellen komplexe Befehle ausführen können. Im Moment das Folgende böswillige Befehle werden unterstützt:

  • SMS senden — Dadurch wird eine SMS vom infizierten Gerät gesendet
  • Flood_SMS — Dadurch werden kontinuierlich SMS-Nachrichten an eine bestimmte Nummer gesendet 5 Sekunden
  • Download_SMS — Eine Kopie der SMS-Nachrichten auf dem Gerät wird an die Hacker gesendet
  • Spam_on_contacts — Dadurch werden SMS-Nachrichten an jeden der aufgezeichneten Kontakte auf dem Gerät gesendet
  • Change_SMS_Manager — Dadurch wird eine Viren-App als Standard-SMS-Manager festgelegt
  • Run_App — Dadurch wird eine bestimmte Anwendung ausgeführt
  • StartKeyLogs — Dadurch wird ein Keylogger-Modul gestartet
  • StopKeyLogs — Dadurch wird das Keylogger-Modul gestoppt
  • StartPush — Dadurch werden alle Benachrichtigungsinhalte an die Hacker gesendet
  • Stop Push — Dadurch werden die Benachrichtigungen nicht mehr gesendet
  • Hide_Screen_Lock — Dadurch bleibt das Gerät auf dem Startbildschirm
  • Unlock_Hide_Screen — Dadurch wird das Gerät vom Startbildschirm entsperrt
  • Admin — Dadurch werden die Administratorrechte vom System angefordert
  • Profil — Dadurch wird ein verwaltetes Administratorprofil hinzugefügt, das von der Malware verwendet wird
  • Start_clean_Push — Dadurch werden alle Push-Benachrichtigungen ausgeblendet
  • Stop_clean_Push — Dadurch werden alle aktiven Push-Benachrichtigungen geschlossen

Der BlackRock Android-Trojaner enthält alle allgemeinen Funktionen, die Teil von Banking-Trojanern sind – die Möglichkeit, sich an Systemprozesse anzuschließen und Benutzerdaten zu entführen. Über die Live-Verbindung zum hackergesteuerten Server kann alles in Echtzeit übertragen werden. Die bereitgestellte Keylogger-Funktionalität ist besonders gefährlich, da sie alle Benutzerinteraktionen verfolgen kann.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/keeper-magecart-hackers-184000-payment-cards/ “] Keeper Magecart Hacker stehlen Details von 184,000 Zahlungskarten

Banking-Trojaner sind von Natur aus darauf ausgelegt stehlen vertrauliche Anmeldeinformationen von Finanzdienstleistungen durch Entführen von Benutzeranmeldeinformationen oder Überwachen ihrer Aktionen. Es gibt einige mögliche Szenarien, in denen ein Overlay eingerichtet wird, das über den Anmeldebildschirmen platziert wird. Wenn die Benutzer des Opfers ihre Daten eingeben, werden diese automatisch an die Hacker weitergeleitet.

Da die meisten Online-Banken und Finanzdienstleister eine Zwei-Faktor-Authentifizierung verwenden, kann der Trojaner auch SMS-Nachrichten mit Bestätigungscodes erfassen. Der BlackRock-Trojaner bietet auch die Möglichkeit dazu Zähler installierte Sicherheitsdienste indem Sie nach ihren Diensten suchen und sie deaktivieren. Dies kann praktisch alle wichtigen Anwendungskategorien umfassen: Firewalls, Einbrucherkennungssystem, Antivirenprogramme und etc..

verbunden: [wplinkpreview url =”https://sensorstechforum.com/apt15-hackers-chinese-android-spyware/ “] APT15-Hacker griffen chinesische Minderheit mit Android-Spyware an

Wie andere beliebte Android-Trojaner kann es eine erstellen Identifikationsnummer — Dies erfolgt durch einen Prozess, der verschiedene Eingabedaten wie die Hardwarekomponenten verwendet, Betriebssystemvariablen und etc..

Die Angriffe dauern noch an, die Identität der Hacking-Gruppe ist jedoch nicht bekannt. Es wurden viele Beispiele mit den Signaturen von BlackRock identifiziert, was bedeutet, dass die Kampagne noch läuft.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

1 Kommentar
  1. Christoph

    Vielen Dank für die Informationen über Blackrock. Ich hoffe, dass eine App angewendet werden kann, um diesen betrügerischen Virus zu vertreiben.

    Antworten

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau