O Trojan BlackRock é um dos mais novos cavalos de Troia para Android, classificado por muitos como uma das ameaças mais perigosas que foram desenvolvidas para o sistema operacional móvel do Google. Este é um Trojan bancário que se acredita derivar do código de Xerxes, uma das versões atualizadas do LokiBot.
O Trojan BlackRock é a nova ameaça para o sistema operacional do Google
O Trojan BlackRock é um novo malware perigoso para Android que se enquadra na categoria de um Trojan bancário. Como as amostras associadas a ele não eram conhecidas pelos pesquisadores de segurança, uma análise foi feita nas amostras coletadas. Isso levou a uma análise aprofundada, mostrando que a ameaça é realmente um malware muito complexo que não era conhecido até o momento. Os trechos de código que foram encontrados nele mostram que os desenvolvedores utilizaram várias partes do Xerxes Trojan bancário, que é baseado em LokiBot. Acompanhar o desenvolvimento da Xerxes mostra que seu código foi publicado no ano passado — isso significa que qualquer grupo de hackers ou desenvolvedor de malware individual poderia acessá-lo e criar seu próprio derivado.
Até agora, parece que o O BlackRock Android Trojan é o único derivado completo Xerxes, que por sua vez é baseado no LokiBot, que por muitos anos foi um dos exemplos mais perigosos de vírus do Android.
Agora, o malware LokiBot original raramente está sendo usado por hackers, a fim de infectar dispositivos móveis, no entanto tais derivativos são constantemente criados por vários grupos de hackers. O BlackRock é distinto da maioria dos cavalos de Troia bancários Android anteriores, no sentido de incluir um lista de alvos muito grande — endereços de redes de dispositivos pertencentes a usuários e empresas individuais. O Trojan Android da BlackRock usa a tática familiar de infectando aplicativos comumente instalados com o código de vírus necessário. Exemplos são os seguintes::
- Aplicativos de redes sociais
- Messsenger Apps
- Serviços de namoro
- Programas de Comunicação
Esses aplicativos infectados por vírus podem ser distribuídos usando táticas de distribuição comuns. Eles podem ser o upload de aplicativos perigosos para os repositórios oficiais usando credenciais de desenvolvedor falsas ou roubadas. Nesse caso, os hackers também podem colocar comentários de usuários e também enviar descrições grandes que prometem adições a novos recursos ou aprimoramentos de desempenho.
A lista completa de arquivos de Trojan BlackRock seqüestrados lista os seguintes nomes:
ayxzygxgagiqhdnjnfduerzbeh.hme.egybgkeziplb, cmbmpqod.bfrtuduawoyhr.mlmrncmjbdecuc, fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug, onpekpikylb.bcgdhxgzwd.dzlecjglpigjuc, ezmjhdiumgiyhfjdp.bjucshsqxhkigwyqqma.gqncehdcknrtcekingi, com.transferwise.android
, com.paypal.android.p2pmobile, com.payoneer.android, com.moneybookers.skrillpayments.neteller, com.eofinance, com.azimo.sendmoney, clientapp.swiftcom.org, com.yahoo.mobile.client.android.mail, com.microsoft.office.outlook, com.mail.mobile.android.mail, com.google.android.gm, com.google.android.gms
, com.connectivityapps.hotmail, com.ubercab, com.netflix.mediaclient, com.ebay.mobile, com.amazon.sellermobile.android, com.amazon.mShop.android.shopping, com.moneybookers.skrillpayments, piuk.blockchain.android, jp.coincheck.android, io.ethos.universalwallet, id.co.bitcoin, com.wrx.wazirx, com.unocoin.unocoinwallet, com.squareup.cash, com.polehin.android, com.Plus500, com.payeer, com.paxful.wallet, com.paribu.app
, com.mycelium.wallet, com.exmo, com.coinbase.android, com.btcturk, com.bitpay.wallet, com.bitmarket.trader, com.bitfinex.mobileapp, com.binance.dev, com.airbitz, co.edgesecure.app, cc.bitbank.bitbank, uk.co.bankofscotland.businessbank, org.westpac.bank, org.banksa.bank, org.banking.tablet.stgeorge, net.bnpparibas.mescomptes, mobile.santander.de, com.speedway.mobile, com.rbs.mobile.investisir, com.rbs.mobile.android.ubr, com.rbs.mobile.android.rbsbandc, com.rbs.mobile.android.rbs, com.rbs.mobile.android.natwestoffshore, com.rbs.mobile.android.natwestbandc, com.rbs.mobile.android.natwest, com.phyder.engage, com.lloydsbank.businessmobile, com.ing.diba.mbbr2, com.ifs.banking.fiid4202
, com.ifs.banking.fiid3767, com.htsu.hsbcpersonalbanking, com.grppl.android.shell.BOS, com.garanti.cepbank, com.fi6122.godough, com.cb.volumePlus, com.barclays.android.barclaysmobilebanking, com.anzspot.mobile, com.anz.SingaporeDigitalBanking, com.anz.android,com.akbank.softotp, biz.mobinex.android.apps.cep_sifrematik, www.ingdirect.nativeframe, uy.com.brou.token, uy.brou, uk.co.tsb.newmobilebank, uk.co.santander.santanderUK, uk.co.hsbc.hsbcukmobilebanking, tr.com.sekerbilisim.mbank, tr.com.hsbc.hsbcturkey, softax.pekao.powerpay, posteitaliane.posteapp.apppostepay, pl.pkobp.iko, pl.orange.mojeorange, pl.mbank, pl.ing.mojeing, pl.ifirma.ifirmafaktury, pl.fakturownia, pl.com.rossmann.centauros, pl.ceneo, pl.bzwbk.bzwbk24, pl.allegro, pegasus.project.ebh.mobile.android.bundle.mobilebank, pe.com.interbank.mobilebanking, org.stgeorge.bank
, net.inverline.bancosabadell.officelocator.android, my.com.maybank2u.m2umobile, mobi.societegenerale.mobile.lappli, ma.gbp.pocketbank, jp.co.rakuten_bank.rakutenbank, it.popso.SCRIGNOapp, it.nogood.container, it.ingdirect.app
, it.copergmps.rt.pf.android.sp.bmps, it.bnl.apps.banking, hu.mkb.mobilapp, hu.cardinal.erste.mobilapp, hu.cardinal.cib.mobilapp, hu.bb.mobilapp, gt.com.bi.bienlinea, fr.lcl.android.customerarea, fr.creditagricole.androidapp, fr.banquepopulaire.cyberplus, finansbank.enpara, eu.unicreditgroup.hvbapptan, eu.eleader.mobilebanking.pekao.firm
, eu.eleader.mobilebanking.pekao, eu.eleader.mobilebanking.invest, en.univia.unicajamovil, es.pibank.customers, es.openbank.mobile, en.liberbank.cajasturapp, es.lacaixa.mobile.android.newwapicon, en.ibercaja.ibercajaapp, en.evobanco.bancamovil, es.cm.android, es.ceca.cajalnet, es.caixageral.caixageralapp, es.caixagalicia.activamovil, en.bancosantander.empresas, de.traktorpool, de.postbank.finanzassistent, de.number26.android, de.mobile.android.app, de.ingdiba.bankingapp, de.fiducia.smartphone.android.banking.vr
, de.dkb.portalapp, de.consorsbank, de.commerzbanking.mobil, de.comdirect.android, com.zoluxiones.officebanking, com.ziraat.ziraatmobil, com.ykb.android, com.wf.wellsfargomobile, com.vakifbank.mobile, com.uy.itau.appitauuypfcom.usbank.mobilebankingcom.usaa.mobile.android.usaa, com.unicredit, com.tmobtech.halkbank, com.tideplatform.banking, com.tecnocom.cajalaboral, com.teb, com.targo_prod.bad, com.suntrust.mobilebanking, com.starfinanz.smob.android.sfinanzstatus, com.snapwork.IDBI, com.scb.phone, com.sbi.SBIFreedomPlus, com.santander.bpi, com.rsi, com.rbc.mobile.android, com.quoine.quoinex.light, com.pttfinans, com.pozitron.iscep, com.oxigen.oxigenwallet, com.mobillium.papara, com.mobikwik_new
, com.magiclick.odeabank, com.lynxspa.bancopopolare, com.latuabancaperandroid, com.kuveytturk.mobil, com.kutxabank.android, com.krungsri.kma, com.konylabs.capitalone, com.kasikorn.retail.mbanking.wap, com.IngDirectAndroid, com.ingbanktr.ingmobil, com.infonow.bofa
, com.indra.itecban.triodosbank.mobile.banking, com.indra.itecban.mobile.novobanco, com.imaginbank.app, com.ideomobile.hapoalim, com.grupocajamar.wefferent, com.grppl.android.shell.halifax, com.grppl.android.shell.CMBlloydsTSB73, com.gmowallet.mobilewallet, com.garanti.cepsubesi, com.finanteq.finance.ca, com.empik.empikfoto, com.empik.empikapp, com.discoverfinancial.mobile, com.denizbank.mobildeniz, com.db.pwcc.dbmobile, com.db.pbc.mibanco, com.db.pbc.miabanca, com.db.mm.norisbank, com.csam.icici.bank.imobile, com.commbank.netbank, com.cm_prod.bad
, com.clairmail.fth, com.cimbmalaysia, com.cibc.android.mobi, com.chase.sig.android, com.cajasur.android, com.caisseepargne.android.mobilebanking, com.boursorama.android.clients,com.bmo.mobile, com.bcp.bank.bcp, com.bbva.nxt_peru
, com.bbva.netcash, com.bbva.bbvacontigo, com.bankinter.launcher, com.bankinter.empresas, com.att.myWireless
, com.ambank.ambankonline, com.albarakaapp, com.akbank.android.apps.akbank_direkt, com.aff.otpdirekt
, com.abnamro.nl.mobile.payments, com.abanca.bancaempresas, com.aadhk.woinvoice, ch.autoscout24.autoscout24, au.com.nab.mobile, au.com.ingdirect.android
, app.wizink.es, alior.bankingapp.android e com.finansbank.mobile.cepsube
Lembramos aos nossos usuários que não é um requisito que o vírus seja incorporado a esses aplicativos. Na maioria das vezes, são serviços conhecidos e legítimos e, devido à sua popularidade entre os usuários do Android, foram usados como transportadores de carga útil para o Trojan BlackRock.
Recursos de Trojan do BlackRock: Quais são as suas funções de malware para Android?
Assim que o Trojan BlackRock Android for instalado em um determinado dispositivo, ele iniciará uma sequência de ações maliciosas. O processo está oculto para os usuários e a transportadora de carga perigosa ficará oculta na gaveta do aplicativo. O segundo estágio é invocar um pronto solicitará que os usos permitam privilégios a um Processo do Serviço de Acessibilidade. Isso pode aparecer como uma mensagem legítima do sistema e a maioria dos usuários clicará nela automaticamente e a desconsiderará.. No momento, a campanha ativa está usando um Usar mensagem falsa do Google Update que será gerado.
As permissões concedidas concederão privilégios adicionais, fornecendo acesso adicional ao cavalo de Troia, permitindo assim todas as suas funções. O Trojan Android da BlackRock instalará um cliente local que se conectará a um servidor controlado por hackers, o que permitirá que os criminosos executem comandos complexos. No momento, o seguinte comandos maliciosos são suportados:
- Enviar SMS — Isso enviará um SMS do dispositivo infectado
- Flood_SMS — Isso envia continuamente mensagens SMS para um determinado número a cada 5 segundos
- Download_SMS — A cópia das mensagens SMS no dispositivo será enviada aos hackers
- Spam_on_contacts — Isso enviará mensagens SMS para cada um dos contatos gravados no dispositivo
- Change_SMS_Manager — Isso definirá um aplicativo de vírus como o gerenciador de SMS padrão
- Run_App — Isso executará um aplicativo específico
- StartKeyLogs — Isso iniciará um módulo keylogger
- StopKeyLogs — Isso irá parar o módulo keylogger
- StartPush — Isso enviará todo o conteúdo das notificações aos hackers
- Stop Push — Isso interromperá o envio das notificações
- Hide_Screen_Lock — Isso manterá o dispositivo na tela inicial
- Unlock_Hide_Screen — Isso desbloqueará o dispositivo na tela inicial
- administrador — Isso solicitará os privilégios administrativos do sistema
- Perfil — Isso adicionará um perfil de administrador gerenciado que será usado pelo malware
- Start_clean_Push — Isso ocultará todas as notificações por push
- Stop_clean_Push — Isso descartará todas as notificações push ativas
O Trojan BlackRock Android inclui todos os recursos comuns que fazem parte dos Trojans bancários – a capacidade de conectar-se a processos do sistema e seqüestrar dados de usuários. Usando a conexão ao vivo que é feita com o servidor controlado por hackers, tudo pode ser transmitido em tempo real. A funcionalidade do keylogger implantado é particularmente perigosa, pois pode rastrear todas as interações dos usuários.
Os Trojans bancários projetados são projetados para roubar credenciais confidenciais de serviços financeiros seqüestrando credenciais de usuários ou monitorando suas ações. Existem alguns cenários possíveis, que incluem a configuração de uma sobreposição que será colocada no topo das telas de login. Se os usuários vítimas digitarem seus dados, eles serão encaminhados automaticamente para os hackers.
Como a maioria dos bancos e serviços financeiros on-line usa algum tipo de autenticação de dois fatores, o Trojan também pode capturar mensagens SMS contendo códigos de verificação. O Trojan BlackRock também inclui a capacidade de serviços de segurança instalados no balcão procurando seus serviços e desativando-os. Isso pode incluir praticamente todas as categorias importantes de aplicativos: firewalls, Os sistemas de detecção de intrusão, programas antivírus e etc.
Como outros cavalos de Troia populares do Android, ele pode criar um Código de identificação — isso é feito por um processo que recebe vários dados de entrada, como os componentes de hardware, variáveis do sistema operacional e etc.
Os ataques ainda estão em andamento, no entanto, a identidade do grupo de hackers não é conhecida. Muitas amostras com as assinaturas do BlackRock foram identificadas, o que significa que a campanha ainda está em andamento..
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga:
Obrigado pelas informações sobre a Blackrock. Espero que um aplicativo possa ser aplicado e vomitar esse vírus enganoso.