Durante uma investigação sobre suas origens do novo malware chamado de BlackRock, surgido em maio deste ano, pesquisadores de segurança descobriram que ele é uma variante do malware bancário Xerxes. Este, por sua vez, foi originado do trojan bancário LokiBot para Android, detectado pela primeira vez há cerca de quatro anos. A descoberta do BlackRock foi feita pela a empresa de segurança móvel ThreatFabric.
O código-fonte do malware Xerxes foi tornado público por seu autor por volta de maio de 2019, possibilitando que qualquer operador de ameaças ponha as mãos nele. Apesar da disponibilidade do código, os pesquisadores descobriram que o único trojan bancário Android baseado no código-fonte do Xerxes atualmente em operação parece ser o BlackRock.
Esse novo malware rouba credenciais não apenas de aplicativos bancários, mas também de outros aplicativos projetados para facilitar a comunicação, compras e negócios. No total, a equipe de pesquisadores da Threat Fabric descobriu que 337 aplicativos Android foram impactados, incluindo de namoro, redes sociais e aplicativos de criptomoeda.
Ao lançar sua rede nefasta de campanha tão amplamente, os pesquisadores acreditam que os criadores do malware estão tentando explorar o aumento da socialização online provocada pelo surto de covid-19. “Aspectos técnicos à parte, um dos diferenciadores interessantes do BlackRock é sua lista de alvos; contém um número importante de aplicativos sociais, de rede, comunicação e namoro”, observam pesquisadores.
Veja isso
Trojan bancário Zloader ressurge em e-mails de phishing
Cibercrime internacional já opera com trojans feitos no Brasil
“Até agora, muitas dessas aplicações não foram observadas nas listas de alvos de outros Trojans bancários existentes. Portanto, parece que os atores por trás do BlackRock estão tentando abusar do crescimento da socialização online que aumentou rapidamente nos últimos meses devido à pandemia. situação.”
Quando o BlackRock é iniciado em um dispositivo pela primeira vez, seu ícone fica oculto na gaveta do aplicativo, tornando-o invisível para o usuário final. O malware solicita à vítima os privilégios do Serviço de Acessibilidade, geralmente posando como uma atualização do Google.
Depois que o usuário concede a solicitação, o BlackRock começa a conceder a si próprio as permissões adicionais necessárias para que o bot funcione totalmente sem precisar interagir mais com a vítima. Quando concluído, o bot está funcional e pronto para receber comandos do servidor de comando e controle (C2) e executar os ataques de sobreposição. O malware é considerado sofisticado e pode se camuflar como um aplicativo genuíno para realizar algum trabalho de espionagem em segundo plano.
