Accueil > Nouvelles Cyber > Blackrock Trojan est un malware Android supposé être un descendant de Lokibot
CYBER NOUVELLES

Blackrock Trojan est un malware Android censé être un descendant de Lokibot

Le cheval de Troie BlackRock est l'un des plus récents chevaux de Troie Android, considéré par beaucoup comme l'une des menaces les plus dangereuses à avoir été développées pour le système d'exploitation mobile de Google.. Il s'agit d'un cheval de Troie bancaire qui serait dérivé du code de Xerxes, l'une des versions améliorées de LokiBot.




BlackRock Trojan est la nouvelle menace pour le système d'exploitation de Google

Le cheval de Troie BlackRock est un nouveau malware Android dangereux qui tombe dans la catégorie des Trojan bancaire. Comme les échantillons qui y étaient associés n'étaient pas connus des chercheurs en sécurité, une analyse a été effectuée sur les échantillons collectés. Cela a conduit à un examen approfondi montrant que la menace est en fait un malware très complexe qui n'était pas connu à ce jour. Les extraits de code qui s'y trouvent montrent que les développeurs ont pris plusieurs parties de la Xerxès cheval de Troie bancaire qui est lui-même basé sur LokiBot. Le suivi du développement de Xerxes montre que son code a été rendu public l'année dernière — cela signifie que tout groupe de piratage ou développeur de malware individuel aurait pu y accéder et créer son propre dérivé.

Jusqu'à présent, il semble que le BlackRock Android Trojan est le seul dérivé complet de Xerxes qui à son tour est basé sur LokiBot qui pendant de nombreuses années a été l'un des exemples les plus dangereux de virus Android.

Le malware d'origine LokiBot est maintenant rarement utilisé par les pirates informatiques afin d'infecter les appareils mobules, mais de telles dérives sont constamment faites par divers groupes de piratage. BlackRock est distinct de la plupart des chevaux de Troie bancaires Android précédents dans le sens où il comprend un très grande liste de cibles — adresses de réseaux d'appareils appartenant à des utilisateurs individuels et à des entreprises. Le cheval de Troie Android BlackRock utilise la tactique familière de infecter les applications couramment installées avec le code de virus nécessaire. Les exemples sont les suivants:

  • Applications de réseaux sociaux
  • Applications messenger
  • Services de rencontres
  • Programmes de communication

Ces applications infectées par des virus peuvent être distribuées en utilisant tactiques de distribution communes. Ils peuvent être le téléchargement des applications dangereuses vers les référentiels officiels en utilisant des informations d'identification de développeur fausses ou volées. Dans ce cas, les pirates peuvent également placer des commentaires des utilisateurs et également télécharger de grandes descriptions qui promettent de nouvelles fonctionnalités ou des améliorations de performances.

La liste complète des fichiers de cheval de Troie BlackRock détournés répertorie les noms suivants:

ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android et com.finansbank.mobile.cepsube

Nous rappelons à nos utilisateurs qu'il n'est pas obligatoire que le virus soit intégré à ces applications. Pour la plupart, ce sont des services bien connus et légitimes et, en raison de leur popularité auprès des utilisateurs d'Android, ils ont été utilisés comme supports de charge utile pour le cheval de Troie BlackRock..

en relation: [wplinkpreview url =”https://sensorstechforum.com/virus-infected-android-phones-us-program/ “] Téléphones Android infectés par des virus vendus via un programme subventionné aux États-Unis

Capacités du cheval de Troie BlackRock: Quelles sont ses fonctions Android Malware?

Dès que le cheval de Troie BlackRock Android est installé sur un appareil donné, il démarre une séquence d'actions malveillantes. Le processus est caché aux utilisateurs et le porteur de charge utile dangereux sera caché du tiroir de l'application. La deuxième étape consiste à invoquer un invite qui demandera les utilisations pour accorder des privilèges à un Processus du service d'accessibilité. Cela peut apparaître comme un message système légitime et la plupart des utilisateurs cliquent automatiquement dessus et l'ignorent.. Pour le moment, la campagne active utilise un Utiliser le faux message de Google Update qui sera engendré.

Les autorisations accordées accorderont des privilèges supplémentaires donnant un accès supplémentaire au cheval de Troie, permettant ainsi toutes ses fonctions. Le cheval de Troie Android BlackRock installera un client local qui se connectera à un serveur contrôlé par un pirate qui permettra aux criminels d'exécuter des commandes complexes. En ce moment, ce qui suit commandes malveillantes sont prises en charge:

  • Envoyer un SMS — Cela enverra un SMS depuis l'appareil infecté
  • Flood_SMS — Cela enverra continuellement des SMS à un numéro donné chaque 5 secondes
  • Download_SMS — Une copie des messages SMS sur l'appareil sera envoyée aux pirates
  • Spam_on_contacts — Cela enverra des messages SMS à chacun des contacts enregistrés sur l'appareil
  • Change_SMS_Manager — Cela définira une application antivirus comme gestionnaire SMS par défaut
  • Run_App — Cela exécutera une application spécifique
  • StartKeyLogs — Cela va démarrer un module enregistreur de frappe
  • StopKeyLogs — Cela arrêtera le module enregistreur de frappe
  • StartPush — Cela enverra tout le contenu des notifications aux pirates
  • Arrêter la poussée — Cela arrêtera d'envoyer les notifications
  • Hide_Screen_Lock — Cela gardera l'appareil sur l'écran d'accueil
  • Unlock_Hide_Screen — Cela déverrouillera l'appareil à partir de l'écran d'accueil
  • Administrateur — Cela demandera les privilèges administratifs du système
  • Profil — Cela ajoutera un profil d'administrateur géré qui sera utilisé par le malware
  • Start_clean_Push — Cela masquera toutes les notifications push
  • Stop_clean_Push — Cela rejettera toutes les notifications push actives

Le cheval de Troie Android BlackRock comprend toutes les fonctionnalités communes qui font partie des chevaux de Troie bancaires – la possibilité de se connecter aux processus système et de détourner les données des utilisateurs. En utilisant la connexion en direct qui est établie avec le serveur contrôlé par les pirates, tout peut être transmis en temps réel. La fonctionnalité de keylogger déployée est particulièrement dangereuse car elle peut suivre toutes les interactions des utilisateurs.

en relation: [wplinkpreview url =”https://sensorstechforum.com/keeper-magecart-hackers-184000-payment-cards/ “] Keeper Magecart Hackers volent les détails de 184,000 Cartes de paiement

Les chevaux de Troie bancaires par conception sont conçus pour voler des informations d'identification sensibles des services financiers en détournant les informations d'identification des utilisateurs ou en surveillant leurs actions. Il y a quelques scénarios possibles qui incluent la mise en place d'une superposition qui sera placée en haut des écrans de connexion. Si les utilisateurs victimes saisissent leurs données, elles seront automatiquement transmises aux pirates.

Comme la plupart des banques et services financiers en ligne utilisent une sorte d'authentification à deux facteurs, le cheval de Troie peut également capturer des messages SMS contenant des codes de vérification. Le cheval de Troie BlackRock inclut également la possibilité de services de sécurité installés au comptoir en recherchant leurs services et en les désactivant. Cela peut inclure pratiquement toutes les catégories importantes d'applications: pare-feu, Les systèmes de détection d'intrusion, programmes antivirus et etc.

en relation: [wplinkpreview url =”https://sensorstechforum.com/apt15-hackers-chinese-android-spyware/ “] Les hackers d'APT15 ont attaqué une minorité chinoise avec un logiciel espion Android

Comme d'autres chevaux de Troie Android populaires, il peut créer un code d'identification — cela se fait par un processus qui prend diverses données d'entrée telles que les composants matériels, variables du système d'exploitation, etc..

Les attaques sont toujours en cours, mais l'identité du groupe de piratage n'est pas connue. De nombreux échantillons portant les signatures de BlackRock ont ​​été identifiés, ce qui signifie que la campagne est toujours en cours.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

1 Commentaire
  1. Christoph

    Merci pour les informations sur Blackrock. J'espère qu'une application pourra être appliquée et éliminer ce virus trompeur.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord