Nieuwe vorm van Android-malware in de criminele onderwereld

Gepubliceerd op 20 juli 2020 om 22:27

Android-apps die het doelwit zijn van deze nieuwe trojan 'BlackRock' zijn onder meer bankier-, dating-, sociale media- en instant messaging-apps.

Breed scala aan mogelijkheden

In de criminele onderwereld is een nieuwe vorm van Android-malware ontstaan, die is uitgerust met een breed scala aan mogelijkheden voor datadiefstal, waardoor het maar liefst 337 Android-applicaties kan targeten.

Deze nieuwe bedreiging, genaamd 'BlackRock', kwam in mei van dit jaar naar voren en werd ontdekt door het mobiele beveiligingsbedrijf 'ThreatFabric'.

Onderzoekers zeggen dat de malware was gebaseerd op de gelekte broncode van een andere malware stam ('Xerxes', die zichzelf baseerde op andere malware stammen), maar werd verbeterd met extra functies, vooral aan de kant die zich bezighoudt met de diefstal van gebruikerswachtwoorden en creditcardgegevens.

'BlackRock' werkt echter nog steeds zoals de meeste Android-banktrojans, behalve dat het meer apps target dan de meeste van zijn voorgangers.

De trojan steelt, indien beschikbaar, zowel inloggegevens (gebruikersnaam en wachtwoorden), maar vraagt ​​het slachtoffer ook om betaalkaart gegevens in te voeren als de apps financiële transacties ondersteunen.

Overlay techniek

Volgens ThreatFabric vindt de gegevensverzameling plaats via een techniek genaamd "overlays", die bestaat uit het detecteren wanneer een gebruiker probeert te communiceren met een legitieme app en het tonen van een nep venster bovenop dat de inloggegevens en kaartgegevens van het slachtoffer verzamelt voordat de gebruiker toestemming krijgt om de beoogde legitieme app in te voeren.

In een  rapport dat vorige week voor publicatie met 'Cybercrimeinfo.nl' werd gedeeld, zeggen ThreatFabric-onderzoekers dat de overgrote meerderheid van 'BlackRock-overlays' is gericht op phishing-financiële en sociale media / communicatie-apps. Er zijn echter ook overlays opgenomen voor phishing-gegevens van apps voor daten, nieuws, winkelen, lifestyle en productiviteit. De volledige lijst met gerichte apps is opgenomen in het 'BlackRock-rapport'.

Beproefde en geteste technieken

Om de overlays te laten zien, is 'BlackRock' niet zo uniek en onder de motorkap werkt 'BlackRock' tegenwoordig zoals de meeste Android-malware en gebruikt het oude, beproefde en geteste technieken.

Eenmaal geïnstalleerd op een apparaat, vraagt ​​een kwaadaardige app die besmet is met de 'BlackRock-trojan' de gebruiker om hem toegang te verlenen tot de toegankelijkheidsfunctie van de telefoon.

De Android-toegankelijkheidsfunctie is een van de krachtigste functies van het besturingssysteem, omdat deze kan worden gebruikt om taken te automatiseren en zelfs namens de gebruiker tikken uit te voeren.

BlackRock verleent zichzelf toegang

'BlackRock' gebruikt de toegankelijkheidsfunctie om zichzelf toegang te verlenen tot andere Android-machtigingen en gebruikt vervolgens een Android DPC (apparaatbeleidcontroller, ook wel een werkprofiel genoemd) om zichzelf beheerderstoegang tot het apparaat te geven.

Vervolgens gebruikt het deze toegang om de kwaadaardige overlays te tonen, maar ThreatFabric zegt dat de trojan ook andere opdringerige bewerkingen kan uitvoeren, zoals:

  • Onderscheppen van SMS-berichten, bijvoorbeeld tweestaps-verificatie-code
  • SMS-spam versturen
  • Contacten spammen met vooraf gedefinieerde SMS
  • Het starten van  specifieke apps
  • Toetsaanslagen loggen (keylogger-functionaliteit)
  • Aangepaste pushmeldingen weergeven
  • Sabotage mobiele antivirus-apps en meer

Nep Google update pakketten

Momenteel wordt 'BlackRock' vermomd gedistribueerd als nep-Google-updatepakketten die worden aangeboden op sites van derden, en de trojan is nog niet gezien in de officiële Play Store

Android-malwarebendes hebben in het verleden echter meestal manieren gevonden om het app-beoordelingsproces van Google te omzeilen, en op een bepaald moment zullen we 'BlackRock' hoogstwaarschijnlijk in de Play Store terug zien.

Bron: threatfabric

Black Rock The Trojan That Wanted To Get Them All
PDF – 740,3 KB 570 downloads

Gerelateerde berichten