De BlackRock Trojan is een van de nieuwste Android-trojans die door velen wordt beoordeeld als een van de gevaarlijkste bedreigingen die zijn ontwikkeld voor het mobiele besturingssysteem van Google. Dit is een banktrojan waarvan wordt aangenomen dat het is afgeleid van de code van Xerxes, een van de bijgewerkte versies van LokiBot.
BlackRock Trojan is de nieuwe bedreiging voor het besturingssysteem van Google
De BlackRock Trojan is een nieuwe gevaarlijke Android-malware die onder de categorie a valt banking Trojan. Omdat de bijbehorende monsters niet bekend waren bij de beveiligingsonderzoekers, werd een analyse gemaakt van de verzamelde monsters. Dit heeft geleid tot een diepgaande blik waaruit blijkt dat de dreiging eigenlijk een zeer complexe malware is die tot op heden niet bekend was. Codefragmenten die daarin zijn aangetroffen, laten zien dat de ontwikkelaars verschillende delen van de software hebben gebruikt Xerxes banking Trojan waarop het zelf is gebaseerd LokiBot. Door de ontwikkeling van Xerxes te volgen, blijkt dat de code vorig jaar openbaar is gemaakt — dit betekent dat elke hackgroep of individuele malwareontwikkelaar er toegang toe had gehad en hun eigen afgeleide had kunnen creëren.
Tot dusver lijkt het erop dat de BlackRock Android Trojan is de enige complete afgeleide van Xerxes, dat op zijn beurt is gebaseerd op LokiBot, dat jarenlang een van de gevaarlijkste voorbeelden was van Android-virussen.
De originele LokiBot-malware wordt nu zelden gebruikt door computerhackers om mobiele apparaten te infecteren, maar dergelijke derivaten worden voortdurend gemaakt door verschillende hackgroepen. BlackRock onderscheidt zich van de meeste van de vorige Android-banktrojans in de zin dat het een zeer grote lijst met doelen — adressen van netwerken van apparaten van individuele gebruikers en bedrijven. De BlackRock Android Trojan gebruikt de bekende tactiek van het infecteren van veelgebruikte applicaties met de nodige viruscode. Voorbeelden zijn de volgende:
- Apps voor sociale netwerken
- Messsenger-apps
- Dating Services
- Communicatieprogramma's
Deze met virus geïnfecteerde applicaties kunnen worden verspreid via gemeenschappelijke distributietactieken. Ze kunnen het uploaden van de gevaarlijke apps naar de officiële opslagplaatsen zijn met behulp van valse of gestolen inloggegevens voor ontwikkelaars. In dit geval kunnen de hackers ook opmerkingen van gebruikers plaatsen en grote beschrijvingen uploaden die nieuwe toevoegingen aan functies of prestatieverbeteringen beloven.
De complete lijst van gekaapte BlackRock Trojan-bestanden vermeldt de volgende namen:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl. fakturownia, pl.com.rossmann.centauros, pl. ceneo, pl.bzwbk.bzwbk24, pl. allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, mijn.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr. creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, nl.univia.unicajamovil, es.pibank.klanten, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.nummer26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebankieren, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.for, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com. albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android en com.finansbank.mobile.cepsube
We herinneren onze gebruikers eraan dat het geen vereiste is dat het virus in deze applicaties is ingebouwd. Voor het grootste deel zijn het bekende en legitieme services en juist vanwege hun populariteit bij Android-gebruikers zijn ze gebruikt als payload-dragers voor de BlackRock Trojan.
BlackRock Trojan-mogelijkheden: Wat zijn de Android Malware-functies?
Zodra de BlackRock Android Trojan op een bepaald apparaat is geïnstalleerd, wordt een reeks kwaadaardige acties gestart. Het proces is verborgen voor de gebruikers en de gevaarlijke ladingdrager wordt verborgen in de app-lade. De tweede fase is het aanroepen van a prompt die het gebruik zal vragen om privileges toe te staan aan een Toegankelijkheidsservice-proces. Dit kan verschijnen als een legitiem systeembericht en de meeste gebruikers zullen er automatisch op klikken en het negeren. Op dit moment maakt de actieve campagne gebruik van een Gebruik een nepbericht van Google Update die zal worden voortgebracht.
De gegeven machtigingen zullen extra voorzieningen verlenen die extra toegang geven tot de Trojan, waardoor al zijn functies mogelijk zijn. De BlackRock Android Trojan zal een lokale client installeren die verbinding zal maken met een door een hacker bestuurde server waarmee de criminelen complexe opdrachten kunnen uitvoeren. Op dit moment het volgende kwaadaardige opdrachten ondersteund:
- Verstuur sms — Hiermee wordt een sms verzonden vanaf het geïnfecteerde apparaat
- Flood_SMS — Hierdoor worden continu sms-berichten naar een bepaald nummer verzonden 5 seconden
- Download_SMS — Kopie van de sms-berichten op het apparaat wordt naar de hackers gestuurd
- Spam_on_contacts — Hiermee worden sms-berichten verzonden naar elk van de opgenomen contacten op het apparaat
- Change_SMS_Manager — Hiermee wordt een virus-app ingesteld als de standaard SMS-manager
- Run_App — Dit zal een specifieke applicatie uitvoeren
- StartKeyLogs — Hiermee start u een keylogger-module
- StopKeyLogs — Dit stopt de keylogger-module
- StartPush — Hiermee wordt alle inhoud van de meldingen naar de hackers gestuurd
- Stop Push — Dit stopt het verzenden van de meldingen
- Hide_Screen_Lock — Hierdoor blijft het apparaat op het startscherm
- Ontgrendel_Verberg_scherm — Hiermee wordt het apparaat ontgrendeld vanaf het startscherm
- beheerder — Hiermee worden de beheerdersrechten van het systeem opgevraagd
- Profiel — Hiermee wordt een beheerd beheerdersprofiel toegevoegd dat door de malware wordt gebruikt
- Start_clean_Push — Hiermee worden alle pushmeldingen verborgen
- Stop_clean_Push — Hiermee worden alle actieve pushmeldingen verwijderd
De BlackRock Android Trojan bevat alle gebruikelijke functies die deel uitmaken van banktrojans – de mogelijkheid om verbinding te maken met systeemprocessen en gebruikersgegevens te kapen. Met behulp van de live verbinding die is gemaakt met de door hackers bestuurde server kan alles in realtime worden verzonden. De geïmplementeerde keylogger-functionaliteit is bijzonder gevaarlijk omdat het alle interacties van gebruikers kan volgen.
Banktrojans zijn ontworpen om te ontwerpen steel gevoelige inloggegevens van financiële diensten door gebruikersreferenties te kapen of hun acties te volgen. Er zijn een paar mogelijke scenario's, waaronder het opzetten van een overlay die bovenop de inlogschermen wordt geplaatst. Als de slachtoffergebruikers hun gegevens invoeren, worden deze automatisch doorgestuurd naar de hackers.
Aangezien de meeste online banken en financiële diensten een soort tweefactorauthenticatie gebruiken, kan de Trojan ook sms-berichten met verificatiecodes vastleggen. De BlackRock Trojan bevat ook de mogelijkheid om teller geïnstalleerde beveiligingsdiensten door naar hun diensten te zoeken en ze uit te schakelen. Dit kan praktisch alle belangrijke categorieën van toepassingen omvatten: firewalls, intrusiedetectiesystemen, antivirusprogramma's en etc.
Net als andere populaire Android-trojans kan het een identificatiecode — dit wordt gedaan door een proces dat verschillende invoergegevens zoals de hardwarecomponenten neemt, besturingssysteemvariabelen en etc.
De aanvallen zijn nog steeds aan de gang, maar de identiteit van de hackgroep is niet bekend. Er zijn veel monsters geïdentificeerd met de handtekeningen van BlackRock, wat betekent dat de campagne nog steeds loopt.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij:
Bedankt voor de informatie over Blackrock. Ik hoop dat een app kan worden toegepast en dit bedrieglijke virus kan verwijderen.