27 jul. 2020

BlackRock: troyano para Android, suplanta apps y roba credenciales

El malware fue descubierto en mayo por los analistas de ThreatFabric y se deriva del código fuente filtrado en 2019 del malware bancario Xerxes, una variante conocida del troyano LokiBot Android.

Cuando el código fuente de un malware se filtra o se hace público, es bastante común ver que el panorama de amenazas se complementa con nuevas variantes de malware o familias basadas en dicho código. Se han observado eventos similares en el pasado, como por ejemplo el infame código de troyano Bankbot puesto a disposición por su autor, lo que lleva a nuevos troyanos como CometBot, Razdel y Anubis. Y, cuando Anubis se filtró, los actores detrás del troyano Ginp reutilizaron pequeñas porciones de su código.

El troyano bancario Cerberus para Android también está subastando todo el proyecto por un precio que comienza en U$S50.000 o cierra el trato por el doble de dinero. El precio incluye todo, desde el código fuente hasta la lista de clientes, junto con la guía de instalación y las secuencias de comandos para que los componentes funcionen juntos.

Además de ser el único malware de Android basado en el código fuente de Xerxes, BlackRock también presenta otra peculiaridad: a diferencia de otros troyanos bancarios, apunta a muchas aplicaciones no financieras de Android, con un enfoque en redes sociales, comunicación, redes y plataformas de citas. BlackRock se camufla como Google Update para solicitar los privilegios del "Servicio de Accesibilidad" y oculta su ícono cuando se inicia. Los permisos adicionales son necesarios para que el bot funcione completamente sin tener que interactuar con la víctima.
Los operadores pueden controlar el malware de forma remota para lanzar ataques de superposición y emitir una multitud de comandos que incluyen registrar pulsaciones de teclas, enviar spam a las listas de contactos de las víctimas con mensajes de texto, configurar el malware como el administrador de SMS predeterminado, enviar notificaciones del sistema al servidor C2 y bloqueando a las víctimas para que no inicien o usen antivirus o software de limpieza del sistema

Los creadores de BlackRock también se han asegurado de que no queden características innecesarias del código de Xerxes, eliminando las capacidades que no fueron útiles en sus objetivos para robar inicios de sesión e información financiera de dispositivos Android infectados.

El malware también utiliza los perfiles de trabajo de Android para controlar el dispositivo comprometido sin requerir permisos de administrador, sino que crea su propio perfil administrado con derechos de administrador.

La lista de objetivos de robo de credenciales de BlackRock de 226 aplicaciones incluye Microsoft Outlook, Gmail, servicios de Google Play, Uber, Amazon, Netflix, aplicación de efectivo, así como múltiples aplicaciones de billetera de criptomonedas como Coinbase, BitPay, Binance y Coinbase, y bancos como Santander, Barclays, RBS, Lloyds, ING y Wells Fargo.

La lista de objetivos de robo de tarjetas de crédito contiene 111 aplicaciones que incluyen, entre otras, Telegram, WhatsApp, Twitter, Skype, Instagram, Facebook, Play Store, YouTube, VK, Reddit, TikTok, Tinder y Grindr.

"La segunda mitad de 2020 vendrá con sus sorpresas, después de Alien, Eventbot y BlackRock podemos esperar que los actores de amenazas con motivación financiera construyan nuevos troyanos bancarios y continúen mejorando los existentes. Con los cambios que esperamos que se realicen en los troyanos de banca móvil, la línea entre el malware bancario y el spyware se vuelve más delgada, el malware bancario representará una amenaza para más organizaciones y su infraestructura, un cambio orgánico que observamos en el malware bancario de Windows hace años", concluyó ThreatFabric.

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!