El troyano BlackRock es uno de los troyanos más nuevos de Android, considerado por muchos como una de las amenazas más peligrosas desarrolladas para el sistema operativo móvil de Google.. Este es un troyano bancario que se cree que se deriva del código de Xerxes, Una de las versiones mejoradas de LokiBot.
BlackRock Trojan es la nueva amenaza para el sistema operativo de Google
El BlackRock Trojan es un nuevo malware peligroso para Android que se incluye en la categoría de troyano bancario. Como los investigadores de seguridad no conocían las muestras asociadas, se realizó un análisis de las muestras recolectadas.. Esto ha llevado a una mirada en profundidad que muestra que la amenaza es en realidad un malware muy complejo que no se conocía en este momento. Los fragmentos de código que se han encontrado contenidos en él muestran que los desarrolladores han tomado varias partes del Jerjes troyano bancario que se basa en LokiBot. El seguimiento del desarrollo de Xerxes muestra que su código se hizo público el año pasado — Esto significa que cualquier grupo de hackers o desarrollador de malware individual podría haber accedido a él y crear su propio derivado.
Hasta ahora parece que el BlackRock Android Trojan es la única derivada completa de Xerxes, que a su vez se basa en LokiBot, que durante muchos años fue uno de los ejemplos más peligrosos de virus Android.
El malware original LokiBot ahora rara vez es utilizado por piratas informáticos para infectar a los mobule devies; sin embargo, varios grupos de piratas informáticos realizan constantemente estas desviaciones. BlackRock es distinto a la mayoría de los troyanos bancarios de Android anteriores en el sentido de que incluye un lista de objetivos muy grande — Direcciones de redes de dispositivos pertenecientes a usuarios individuales y empresas. El troyano BlackRock para Android utiliza la táctica familiar de infectar aplicaciones comúnmente instaladas con el código de virus necesario. Ejemplos son los siguientes:
- Aplicaciones de redes sociales
- Aplicaciones Messsenger
- Servicios de citas
- Programas de comunicacion
Estas aplicaciones infectadas con virus se pueden distribuir usando tácticas de distribución comunes. Pueden ser la carga de las aplicaciones peligrosas en los repositorios oficiales utilizando credenciales de desarrollador falsas o robadas. En este caso, los piratas informáticos también pueden colocar comentarios de los usuarios y también subir descripciones grandes que prometen adiciones de nuevas funciones o mejoras de rendimiento.
La lista completa de secuestrado archivos de troyanos BlackRock enumera los siguientes nombres:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl., pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, es.univia.unicajamovil, es.pibank.clientes, es.openbank.mobile, es.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, es.ibercaja.ibercajaapp, es.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, es.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android y com.finansbank.mobile.cepsube
Les recordamos a nuestros usuarios que no es un requisito que el virus esté integrado en estas aplicaciones. En su mayor parte, son servicios conocidos y legítimos y, debido exactamente a su popularidad entre los usuarios de Android, se han utilizado como operadores de carga útil para el troyano BlackRock.
Capacidades de troyanos BlackRock: ¿Cuáles son sus funciones de malware de Android??
Tan pronto como se instale el troyano Android BlackRock en un dispositivo dado, comenzará una secuencia de acciones maliciosas. El proceso está oculto para los usuarios y el operador de carga peligrosa estará oculto del cajón de aplicaciones. La segunda etapa es invocar un prompt que pedirá los usos para permitir privilegios a un Proceso de servicio de accesibilidad. Esto puede aparecer como un mensaje legítimo del sistema y la mayoría de los usuarios harán clic automáticamente en él y lo ignorarán. En este momento, la campaña activa está utilizando un Usar el mensaje falso de Google Update que será engendrado.
Los permisos otorgados otorgan privilegios adicionales que brindan acceso adicional al troyano, lo que permite todas sus funciones. El troyano BlackRock para Android instalará un cliente local que se conectará a un servidor controlado por piratas informáticos que permitirá a los delincuentes ejecutar comandos complejos. Por el momento lo siguiente comandos maliciosos son compatibles:
- Enviar SMS — Esto enviará un SMS desde el dispositivo infectado
- Flood_SMS — Esto enviará continuamente mensajes SMS a un número determinado cada 5 segundos
- Descargar_SMS — Se enviará una copia de los mensajes SMS en el dispositivo a los piratas informáticos
- Spam_on_contacts — Esto enviará mensajes SMS a cada uno de los contactos grabados en el dispositivo
- Change_SMS_Manager — Esto establecerá una aplicación de virus como el administrador de SMS predeterminado
- Run_App — Esto ejecutará una aplicación específica
- StartKeyLogs — Esto iniciará un módulo keylogger
- StopKeyLogs — Esto detendrá el módulo keylogger
- StartPush — Esto enviará todo el contenido de las notificaciones a los piratas informáticos.
- Dejar de empujar — Esto dejará de enviar las notificaciones.
- Hide_Screen_Lock — Esto mantendrá el dispositivo en la pantalla de inicio
- Desbloquear_Ocultar_Pantalla — Esto desbloqueará el dispositivo desde la pantalla de inicio
- Administración — Esto solicitará los privilegios administrativos del sistema
- Perfil — Esto agregará un perfil de administrador administrado que será utilizado por el malware
- Start_clean_Push — Esto ocultará todas las notificaciones push
- Stop_clean_Push — Esto descartará todas las notificaciones push activas
El troyano BlackRock para Android incluye todas las características comunes que forman parte de los troyanos bancarios – la capacidad de conectarse a procesos del sistema y secuestrar datos de usuarios. Usando la conexión en vivo que se realiza al servidor controlado por piratas informáticos, todo se puede transmitir en tiempo real. La funcionalidad desplegada del keylogger es particularmente peligrosa ya que puede rastrear todas las interacciones de los usuarios.
Los troyanos bancarios por diseño están diseñados para robar credenciales sensibles de servicios financieros secuestrando las credenciales de los usuarios o monitoreando sus acciones. Hay algunos escenarios posibles que incluyen la configuración de una superposición que se colocará en la parte superior de las pantallas de inicio de sesión. Si los usuarios víctimas ingresan sus datos, se enviarán automáticamente a los piratas informáticos.
Como la mayoría de los bancos y servicios financieros en línea utilizan algún tipo de autenticación de dos factores, el troyano también puede capturar mensajes SMS que contienen códigos de verificación. El troyano BlackRock también incluye la capacidad de Contador de servicios de seguridad instalados buscando sus servicios y deshabilitándolos. Esto puede incluir prácticamente todas las categorías importantes de aplicaciones: cortafuegos, sistema de deteccion de intrusos, programas antivirus y etc..
Al igual que otros troyanos populares de Android, puede crear un código de identificación — Esto se realiza mediante un proceso que toma varios datos de entrada, como los componentes de hardware., variables del sistema operativo y etc..
Los ataques todavía están en curso, sin embargo, se desconoce la identidad del grupo de piratería.. Se han identificado muchas muestras con las firmas de BlackRock, lo que significa que la campaña aún se está ejecutando..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme:
Gracias por la información sobre Blackrock. Espero que se pueda aplicar una aplicación y eliminar este virus engañoso.