Được mệnh danh là “Hòn đá đen“bởi các nhà nghiên cứu của ThreatFoven, người đã phát hiện ra trojan hồi tháng Năm, mã nguồn của nó có nguồn gốc từ một phiên bản bị rò rỉ của phần mềm độc hại ngân hàng Xerxes, bản thân nó là một chủng của Trojan ngân hàng LokiBot đó là lần đầu tiên được quan sát trong giai đoạn 2016-2017.
Các tính năng hàng đầu của nó là đánh cắp thông tin người dùng, chặn tin nhắn SMS, đánh cắp thông báo và thậm chí ghi lại các lần nhấn phím từ các ứng dụng được nhắm mục tiêu, ngoài khả năng ẩn khỏi phần mềm chống vi-rút.
“Không chỉ làm [BlackRock] Trojan trải qua những thay đổi trong mã của nó, nhưng cũng đi kèm với một danh sách mục tiêu gia tăng và đã được thực hiện trong một thời gian dài hơn, “ThreatFoven nói.
“Nó chứa một số lượng quan trọng của các ứng dụng xã hội, mạng, giao tiếp và hẹn hò [that] chưa được quan sát trong danh sách mục tiêu cho các Trojans ngân hàng hiện tại khác. “
BlackRock thực hiện việc thu thập dữ liệu bằng cách lạm dụng các đặc quyền Dịch vụ trợ năng của Android, trong đó tìm kiếm quyền của người dùng dưới vỏ bọc cập nhật Google giả khi lần đầu tiên ra mắt trên thiết bị, như được hiển thị trong ảnh chụp màn hình được chia sẻ.
Sau đó, nó tiếp tục cấp cho mình các quyền bổ sung và thiết lập kết nối với máy chủ chỉ huy và kiểm soát từ xa (C2) để thực hiện các hoạt động độc hại của mình bằng cách tiêm lớp phủ lên trên màn hình đăng nhập và thanh toán của các ứng dụng được nhắm mục tiêu.
Các lớp phủ đánh cắp thông tin xác thực này đã được tìm thấy trên các ứng dụng ngân hàng hoạt động ở Châu Âu, Úc, Mỹ và Canada, cũng như các ứng dụng mua sắm, truyền thông và kinh doanh.
“Danh sách mục tiêu của các ứng dụng phi tài chính chứa các ứng dụng nổi tiếng như nhưng không giới hạn ở Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Máy mài, VK, Netflix, Uber, eBay, Amazon, Reddit và Tumblr, “Các nhà nghiên cứu nói với The Hacker News.
Đây không phải là lần đầu tiên phần mềm độc hại di động lạm dụng các tính năng trợ năng của Android.
Đầu năm nay, các nhà nghiên cứu IBM X-Force đã trình bày chi tiết về một chiến dịch TrickBot mới, được gọi là Thủ thuật, được tìm thấy độc quyền nhắm mục tiêu người dùng Đức có phần mềm độc hại sử dụng sai các tính năng trợ năng để chặn mật khẩu một lần (OTP), TAN di động (mTAN) và mã xác thực PushTAN.
Sau đó vào tháng Tư, Cyberory đã phát hiện ra một loại phần mềm độc hại ngân hàng khác được gọi là Sự kiện đã tận dụng tính năng tương tự để lọc dữ liệu nhạy cảm khỏi các ứng dụng tài chính, đọc tin nhắn SMS của người dùng và chiếm quyền điều khiển mã xác thực hai yếu tố dựa trên SMS.
Điều làm cho chiến dịch của BlackRock trở nên khác biệt là độ rộng lớn của các ứng dụng được nhắm mục tiêu, vượt xa các ứng dụng ngân hàng di động thường được nhắm mục tiêu.
“Sau Alien, Eventbot và BlackRock, chúng ta có thể hy vọng rằng các tác nhân đe dọa có động cơ tài chính sẽ xây dựng các Trojan ngân hàng mới và tiếp tục cải thiện những người hiện có,” các nhà nghiên cứu của ThreatFoven kết luận.
“Với những thay đổi mà chúng tôi dự kiến sẽ được thực hiện đối với Trojan ngân hàng di động, ranh giới giữa phần mềm độc hại và phần mềm gián điệp ngân hàng trở nên mỏng hơn, [and] phần mềm độc hại ngân hàng sẽ là mối đe dọa cho nhiều tổ chức hơn. “
