Le cheval de Troie BlackRock est l'un des plus récents chevaux de Troie Android, considéré par beaucoup comme l'une des menaces les plus dangereuses à avoir été développées pour le système d'exploitation mobile de Google.. Il s'agit d'un cheval de Troie bancaire qui serait dérivé du code de Xerxes, l'une des versions améliorées de LokiBot.
BlackRock Trojan est la nouvelle menace pour le système d'exploitation de Google
Le cheval de Troie BlackRock est un nouveau malware Android dangereux qui tombe dans la catégorie des Trojan bancaire. Comme les échantillons qui y étaient associés n'étaient pas connus des chercheurs en sécurité, une analyse a été effectuée sur les échantillons collectés. Cela a conduit à un examen approfondi montrant que la menace est en fait un malware très complexe qui n'était pas connu à ce jour. Les extraits de code qui s'y trouvent montrent que les développeurs ont pris plusieurs parties de la Xerxès cheval de Troie bancaire qui est lui-même basé sur LokiBot. Le suivi du développement de Xerxes montre que son code a été rendu public l'année dernière — cela signifie que tout groupe de piratage ou développeur de malware individuel aurait pu y accéder et créer son propre dérivé.
Jusqu'à présent, il semble que le BlackRock Android Trojan est le seul dérivé complet de Xerxes qui à son tour est basé sur LokiBot qui pendant de nombreuses années a été l'un des exemples les plus dangereux de virus Android.
Le malware d'origine LokiBot est maintenant rarement utilisé par les pirates informatiques afin d'infecter les appareils mobules, mais de telles dérives sont constamment faites par divers groupes de piratage. BlackRock est distinct de la plupart des chevaux de Troie bancaires Android précédents dans le sens où il comprend un très grande liste de cibles — adresses de réseaux d'appareils appartenant à des utilisateurs individuels et à des entreprises. Le cheval de Troie Android BlackRock utilise la tactique familière de infecter les applications couramment installées avec le code de virus nécessaire. Les exemples sont les suivants:
- Applications de réseaux sociaux
- Applications messenger
- Services de rencontres
- Programmes de communication
Ces applications infectées par des virus peuvent être distribuées en utilisant tactiques de distribution communes. Ils peuvent être le téléchargement des applications dangereuses vers les référentiels officiels en utilisant des informations d'identification de développeur fausses ou volées. Dans ce cas, les pirates peuvent également placer des commentaires des utilisateurs et également télécharger de grandes descriptions qui promettent de nouvelles fonctionnalités ou des améliorations de performances.
La liste complète des fichiers de cheval de Troie BlackRock détournés répertorie les noms suivants:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android et com.finansbank.mobile.cepsube
Nous rappelons à nos utilisateurs qu'il n'est pas obligatoire que le virus soit intégré à ces applications. Pour la plupart, ce sont des services bien connus et légitimes et, en raison de leur popularité auprès des utilisateurs d'Android, ils ont été utilisés comme supports de charge utile pour le cheval de Troie BlackRock..
Capacités du cheval de Troie BlackRock: Quelles sont ses fonctions Android Malware?
Dès que le cheval de Troie BlackRock Android est installé sur un appareil donné, il démarre une séquence d'actions malveillantes. Le processus est caché aux utilisateurs et le porteur de charge utile dangereux sera caché du tiroir de l'application. La deuxième étape consiste à invoquer un invite qui demandera les utilisations pour accorder des privilèges à un Processus du service d'accessibilité. Cela peut apparaître comme un message système légitime et la plupart des utilisateurs cliquent automatiquement dessus et l'ignorent.. Pour le moment, la campagne active utilise un Utiliser le faux message de Google Update qui sera engendré.
Les autorisations accordées accorderont des privilèges supplémentaires donnant un accès supplémentaire au cheval de Troie, permettant ainsi toutes ses fonctions. Le cheval de Troie Android BlackRock installera un client local qui se connectera à un serveur contrôlé par un pirate qui permettra aux criminels d'exécuter des commandes complexes. En ce moment, ce qui suit commandes malveillantes sont prises en charge:
- Envoyer un SMS — Cela enverra un SMS depuis l'appareil infecté
- Flood_SMS — Cela enverra continuellement des SMS à un numéro donné chaque 5 secondes
- Download_SMS — Une copie des messages SMS sur l'appareil sera envoyée aux pirates
- Spam_on_contacts — Cela enverra des messages SMS à chacun des contacts enregistrés sur l'appareil
- Change_SMS_Manager — Cela définira une application antivirus comme gestionnaire SMS par défaut
- Run_App — Cela exécutera une application spécifique
- StartKeyLogs — Cela va démarrer un module enregistreur de frappe
- StopKeyLogs — Cela arrêtera le module enregistreur de frappe
- StartPush — Cela enverra tout le contenu des notifications aux pirates
- Arrêter la poussée — Cela arrêtera d'envoyer les notifications
- Hide_Screen_Lock — Cela gardera l'appareil sur l'écran d'accueil
- Unlock_Hide_Screen — Cela déverrouillera l'appareil à partir de l'écran d'accueil
- Administrateur — Cela demandera les privilèges administratifs du système
- Profil — Cela ajoutera un profil d'administrateur géré qui sera utilisé par le malware
- Start_clean_Push — Cela masquera toutes les notifications push
- Stop_clean_Push — Cela rejettera toutes les notifications push actives
Le cheval de Troie Android BlackRock comprend toutes les fonctionnalités communes qui font partie des chevaux de Troie bancaires – la possibilité de se connecter aux processus système et de détourner les données des utilisateurs. En utilisant la connexion en direct qui est établie avec le serveur contrôlé par les pirates, tout peut être transmis en temps réel. La fonctionnalité de keylogger déployée est particulièrement dangereuse car elle peut suivre toutes les interactions des utilisateurs.
Les chevaux de Troie bancaires par conception sont conçus pour voler des informations d'identification sensibles des services financiers en détournant les informations d'identification des utilisateurs ou en surveillant leurs actions. Il y a quelques scénarios possibles qui incluent la mise en place d'une superposition qui sera placée en haut des écrans de connexion. Si les utilisateurs victimes saisissent leurs données, elles seront automatiquement transmises aux pirates.
Comme la plupart des banques et services financiers en ligne utilisent une sorte d'authentification à deux facteurs, le cheval de Troie peut également capturer des messages SMS contenant des codes de vérification. Le cheval de Troie BlackRock inclut également la possibilité de services de sécurité installés au comptoir en recherchant leurs services et en les désactivant. Cela peut inclure pratiquement toutes les catégories importantes d'applications: pare-feu, Les systèmes de détection d'intrusion, programmes antivirus et etc.
Comme d'autres chevaux de Troie Android populaires, il peut créer un code d'identification — cela se fait par un processus qui prend diverses données d'entrée telles que les composants matériels, variables du système d'exploitation, etc..
Les attaques sont toujours en cours, mais l'identité du groupe de piratage n'est pas connue. De nombreux échantillons portant les signatures de BlackRock ont été identifiés, ce qui signifie que la campagne est toujours en cours.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi:
Merci pour les informations sur Blackrock. J'espère qu'une application pourra être appliquée et éliminer ce virus trompeur.