ブラックロック型トロイの木馬は、Googleのモバイルオペレーティングシステム用に開発された最も危険な脅威の1つであると多くの人から評価されている、最新のAndroid型トロイの木馬の1つです。. これは、Xerxesのコードから派生したと考えられているバンキング型トロイの木馬です。, LokiBotのアップグレードバージョンの1つ.
ブラックロックトロイの木馬は、Googleのオペレーティングシステムの新しい脅威です
BlackRockトロイの木馬は、新しい危険なAndroidマルウェアであり、 バンキング型トロイの木馬. これに関連するサンプルはセキュリティ研究者には知られていないため、収集されたサンプルについて分析が行われました。. これにより、脅威が実際には非常に複雑なマルウェアであり、現時点では知られていなかったことを示す詳細な調査が行われました。. そこに含まれていることが判明したコードスニペットは、開発者が Xerxes それ自体が基づいているバンキング型トロイの木馬 LokiBot. Xerxesの開発を追跡すると、そのコードが昨年公開されたことがわかります — これは、ハッキンググループまたは個々のマルウェア開発者がそれにアクセスして独自の派生物を作成できた可能性があることを意味します.
これまでのところ、 BlackRockAndroidTrojanは唯一の完全な派生物です Xerxesは、長年にわたってAndroidウイルスの最も危険な例の1つであったLokiBotに基づいています。.
元のLokiBotマルウェアは、現在、コンピューターハッカーがモバイルデバイスに感染するために使用することはめったにありませんが、そのような派生物は、さまざまなハッキンググループによって絶えず作成されています。. BlackRockは、以前のAndroidバンキング型トロイの木馬のほとんどとは異なり、 非常に大きなターゲットリスト — 個々のユーザーおよび企業に属するデバイスのネットワークのアドレス. BlackRock Androidトロイの木馬は、おなじみの戦術を使用しています 一般的にインストールされているアプリケーションへの感染 必要なウイルスコードで. 例は次のとおりです:
- ソーシャルネットワークアプリ
- Messsengerアプリ
- 出会い系サービス
- コミュニケーションプログラム
これらのウイルスに感染したアプリケーションは、 一般的な流通戦術. 偽のまたは盗まれた開発者の資格情報を使用して、危険なアプリを公式リポジトリにアップロードする可能性があります. この場合、ハッカーはユーザーのコメントを投稿したり、新機能の追加やパフォーマンスの向上を約束する大きな説明をアップロードしたりすることもあります。.
の完全なリスト ブラックロックのトロイの木馬ファイルを乗っ取った 次の名前をリストします:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, es.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, es.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, es.ibercaja.ibercajaapp, es.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, es.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.papara, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.androidおよびcom.finansbank.mobile.cepsube
ウイルスがこれらのアプリケーションに組み込まれている必要はないことをユーザーに通知します. ほとんどの場合、これらはよく知られた正当なサービスであり、Androidユーザーの間で人気があるため、BlackRockトロイの木馬のペイロードキャリアとして使用されています。.
ブラックロックのトロイの木馬機能: そのAndroidマルウェア機能は何ですか?
BlackRock Androidトロイの木馬が特定のデバイスにインストールされるとすぐに、一連の悪意のあるアクションが開始されます. プロセスはユーザーから隠され、危険なペイロードキャリアはアプリドロワーから隠されます. 第2段階は、 促す これは、ユーザーに特権を許可するように要求します アクセシビリティサービスプロセス. これは正当なシステムメッセージとして表示される場合があり、ほとんどのユーザーは自動的にそれをクリックして無視します. 現在、アクティブなキャンペーンは GoogleUpdateの偽のメッセージを使用する スポーンされます.
与えられた権限は、トロイの木馬への追加のアクセスを与える追加の特権を付与し、その結果、そのすべての機能を有効にします. BlackRock Androidトロイの木馬は、ハッカーが制御するサーバーに接続するローカルクライアントをインストールします。これにより、犯罪者は複雑なコマンドを実行できます。. 現時点では次の 悪意のあるコマンド サポートされています:
- SMSを送信 — これにより、感染したデバイスからSMSが送信されます
- Flood_SMS — これにより、SMSメッセージが指定された番号に送信されます。 5 秒
- Download_SMS — デバイス上のSMSメッセージのコピーがハッカーに送信されます
- Spam_on_contacts — これにより、デバイスに記録された各連絡先にSMSメッセージが送信されます
- Change_SMS_Manager — これにより、ウイルスアプリがデフォルトのSMSマネージャーとして設定されます
- Run_App — これにより、特定のアプリケーションが実行されます
- StartKeyLogs — これにより、キーロガーモジュールが起動します
- StopKeyLogs — これにより、キーロガーモジュールが停止します
- StartPush — これにより、すべての通知コンテンツがハッカーに送信されます
- StopPush — これにより、通知の送信が停止します
- Hide_Screen_Lock — これにより、デバイスがホーム画面に表示されたままになります
- Unlock_Hide_Screen — これにより、ホーム画面からデバイスのロックが解除されます
- 管理者 — これにより、システムに管理者権限が要求されます
- プロフィール — これにより、マルウェアが使用する管理者プロファイルが追加されます
- Start_clean_Push — これにより、すべてのプッシュ通知が非表示になります
- Stop_clean_Push — これにより、アクティブなプッシュ通知がすべて閉じられます
BlackRock Androidトロイの木馬には、バンキング型トロイの木馬の一部であるすべての一般的な機能が含まれています – システムプロセスに接続してユーザーデータをハイジャックする機能. ハッカーが制御するサーバーへのライブ接続を使用して、すべてをリアルタイムで送信できます. デプロイされたキーロガー機能は、すべてのユーザーの操作を追跡できるため、特に危険です。.
バンキング型トロイの木馬は、設計上、 金融サービスから機密性の高い資格情報を盗む ユーザーの資格情報を乗っ取るか、ユーザーの行動を監視する. ログイン画面の上に配置されるオーバーレイの設定を含むいくつかの可能なシナリオがあります. 被害者のユーザーがデータを入力すると、ハッカーに自動的に転送されます.
ほとんどのオンライン銀行と金融サービスは、ある種の2要素認証を使用しているため、トロイの木馬は検証コードを含むSMSメッセージもキャプチャできます。. BlackRockトロイの木馬には、次の機能も含まれています。 カウンターインストールセキュリティサービス それらのサービスを探して無効にすることによって. これには、実質的にすべての重要なカテゴリのアプリケーションを含めることができます: ファイアウォール, 侵入検知システム, ウイルス対策プログラムなど.
他の人気のあるAndroidトロイの木馬と同様に、 認証コード — これは、ハードウェアコンポーネントなどのさまざまな入力データを取得するプロセスによって行われます。, オペレーティングシステム変数など.
攻撃はまだ進行中ですが、ハッキンググループの身元は不明です. ブラックロックの署名が付いた多くのサンプルが特定されました。これは、キャンペーンがまだ実行中であることを意味します。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください:
ブラックロックの情報ありがとうございます. アプリを適用して、この欺瞞的なウイルスを排除できることを願っています.