Il BlackRock Trojan è uno dei più recenti Trojan Android che è considerato da molti una delle minacce più pericolose che sono state sviluppate per il sistema operativo mobile di Google. Questo è un Trojan bancario che si ritiene derivato dal codice di Serse, una delle versioni aggiornate di LokiBot.
BlackRock Trojan è la nuova minaccia per il sistema operativo di Google
Il BlackRock Trojan è un nuovo malware Android pericoloso che rientra nella categoria di a banking Trojan. Poiché i campioni ad esso associati non erano noti ai ricercatori della sicurezza, è stata effettuata un'analisi sui campioni raccolti. Ciò ha portato a uno sguardo approfondito che mostra che la minaccia è in realtà un malware molto complesso che non era noto al momento. Gli snippet di codice che sono stati trovati contenuti in esso mostrano che gli sviluppatori hanno preso diverse parti di Serse Trojan bancario su cui si basa LokiBot. Tracciare lo sviluppo di Xerxes mostra che il suo codice è stato reso pubblico l'anno scorso — ciò significa che qualsiasi gruppo di hacker o singolo sviluppatore di malware avrebbe potuto accedervi e creare il proprio derivato.
Finora sembra che il BlackRock Android Trojan è l'unico derivato completo di Serse che a sua volta si basa su LokiBot che per molti anni è stato uno degli esempi più pericolosi di virus Android.
Il malware originale LokiBot viene ora raramente utilizzato dagli hacker di computer al fine di infettare i mobule devies, tuttavia tali derivati vengono costantemente realizzati da vari gruppi di hacking. BlackRock è distinto dalla maggior parte dei precedenti trojan bancari Android, nel senso che include un elenco obiettivi molto ampio — indirizzi di reti di dispositivi appartenenti a singoli utenti e aziende. Il trojan Android BlackRock utilizza la tattica familiare di infettare le applicazioni comunemente installate con il codice virus necessario. Esempi sono le seguenti:
- App di social network
- App Messsenger
- Servizi di incontri
- Programmi di comunicazione
Queste applicazioni infette da virus possono essere distribuite tramite tattiche di distribuzione comuni. Possono essere il caricamento delle app pericolose nei repository ufficiali usando credenziali di sviluppatori false o rubate. In questo caso gli hacker possono anche inserire commenti degli utenti e anche caricare descrizioni di grandi dimensioni che promettono aggiunte di nuove funzionalità o miglioramenti delle prestazioni.
L'elenco completo di dirottato i file Trojan BlackRock elenca i seguenti nomi:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android e com.finansbank.mobile.cepsube
Ricordiamo ai nostri utenti che non è necessario che il virus sia integrato in queste applicazioni. Per la maggior parte sono servizi noti e legittimi e proprio per la loro popolarità tra gli utenti Android sono stati utilizzati come portatori di payload per il BlackRock Trojan.
Funzionalità Trojan BlackRock: Quali sono le sue funzioni malware Android?
Non appena il Trojan BlackRock per Android viene installato su un determinato dispositivo, inizierà una sequenza di azioni dannose. Il processo è nascosto agli utenti e il pericoloso vettore del payload verrà nascosto dal cassetto delle app. Il secondo stadio è invocare a pronta che chiederà gli usi per consentire i privilegi a un Processo del servizio di accessibilità. Questo può apparire come un messaggio di sistema legittimo e la maggior parte degli utenti lo farà automaticamente clic e lo ignorerà. Al momento la campagna attiva sta utilizzando a Utilizza il messaggio falso di Google Update che verrà generato.
Le autorizzazioni fornite concederanno ulteriori tentativi fornendo un ulteriore accesso al Trojan abilitando così tutte le sue funzioni. BlackRock Android Trojan installerà un client locale che si connetterà a un server controllato dagli hacker che consentirà ai criminali di eseguire comandi complessi. Al momento il seguente comandi malevoli sono supportati:
- Inviare SMS — Questo invierà un SMS dal dispositivo infetto
- Flood_SMS — Questo invierà continuamente messaggi SMS a un determinato numero ogni 5 secondi
- Download_SMS — Copia dei messaggi SMS sul dispositivo verrà inviata agli hacker
- Spam_on_contacts — Questo invierà messaggi SMS a ciascuno dei contatti registrati sul dispositivo
- Change_SMS_Manager — Ciò imposterà un'app antivirus come gestore SMS predefinito
- Run_App — Questo eseguirà un'applicazione specifica
- StartKeyLogs — Questo avvierà un modulo keylogger
- StopKeyLogs — Ciò interromperà il modulo keylogger
- StartPush — Questo invierà tutto il contenuto delle notifiche agli hacker
- Stop Push — Ciò interromperà l'invio delle notifiche
- Hide_Screen_Lock — Ciò manterrà il dispositivo nella schermata principale
- Unlock_Hide_Screen — Questo sbloccherà il dispositivo dalla schermata principale
- Admin — Ciò richiederà i privilegi di amministratore dal sistema
- Profilo — Ciò aggiungerà un profilo di amministratore gestito che verrà utilizzato dal malware
- Start_clean_Push — Questo nasconderà tutte le notifiche push
- Stop_clean_Push — Ciò eliminerà tutte le notifiche push attive
Il Trojan Android BlackRock include tutte le funzionalità comuni che fanno parte dei Trojan bancari – la capacità di collegarsi ai processi di sistema e dirottare i dati degli utenti. Usando la connessione live che viene fatta al server controllato dagli hacker, tutto può essere trasmesso in tempo reale. La funzionalità del keylogger distribuito è particolarmente pericolosa in quanto può tracciare tutte le interazioni degli utenti.
Trojan bancari di progettazione sono progettati per rubare credenziali sensibili dai servizi finanziari dirottando le credenziali degli utenti o monitorandone le azioni. Esistono alcuni scenari possibili che includono l'impostazione di un overlay che verrà posizionato in cima alle schermate di accesso. Se gli utenti della vittima inseriscono i propri dati, questi verranno automaticamente inoltrati agli hacker.
Poiché la maggior parte delle banche online e dei servizi finanziari utilizzano una sorta di autenticazione a due fattori, il Trojan può anche acquisire messaggi SMS contenenti codici di verifica. Il Trojan BlackRock include anche la possibilità di contatori di servizi di sicurezza installati cercando i loro servizi e disabilitandoli. Ciò può includere praticamente tutte le categorie importanti di applicazioni: firewall, sistemi di rilevamento delle intrusioni, programmi antivirus ed ecc.
Come altri popolari trojan Android, può crearne uno codice di identificazione — questo viene fatto da un processo che accetta vari dati di input come i componenti hardware, variabili del sistema operativo ecc.
Gli attacchi sono ancora in corso ma l'identità del gruppo di hacking non è nota. Sono stati identificati molti campioni che portano le firme di BlackRock, il che significa che la campagna è ancora in corso.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi:
Grazie per le informazioni su Blackrock. Spero che un'app possa essere applicata e eliminare questo virus ingannevole.