Android-apps die het doelwit zijn van deze nieuwe trojan 'BlackRock' zijn onder meer bankier-, dating-, sociale media- en instant messaging-apps.
Breed scala aan mogelijkheden
In de criminele onderwereld is een nieuwe vorm van Android-malware ontstaan, die is uitgerust met een breed scala aan mogelijkheden voor datadiefstal, waardoor het maar liefst 337 Android-applicaties kan targeten.
Deze nieuwe bedreiging, genaamd 'BlackRock', kwam in mei van dit jaar naar voren en werd ontdekt door het mobiele beveiligingsbedrijf 'ThreatFabric'.
Onderzoekers zeggen dat de malware was gebaseerd op de gelekte broncode van een andere malware stam ('Xerxes', die zichzelf baseerde op andere malware stammen), maar werd verbeterd met extra functies, vooral aan de kant die zich bezighoudt met de diefstal van gebruikerswachtwoorden en creditcardgegevens.
'BlackRock' werkt echter nog steeds zoals de meeste Android-banktrojans, behalve dat het meer apps target dan de meeste van zijn voorgangers.
De trojan steelt, indien beschikbaar, zowel inloggegevens (gebruikersnaam en wachtwoorden), maar vraagt het slachtoffer ook om betaalkaart gegevens in te voeren als de apps financiële transacties ondersteunen.
Overlay techniek
Volgens ThreatFabric vindt de gegevensverzameling plaats via een techniek genaamd "overlays", die bestaat uit het detecteren wanneer een gebruiker probeert te communiceren met een legitieme app en het tonen van een nep venster bovenop dat de inloggegevens en kaartgegevens van het slachtoffer verzamelt voordat de gebruiker toestemming krijgt om de beoogde legitieme app in te voeren.
In een rapport dat vorige week voor publicatie met 'Cybercrimeinfo.nl' werd gedeeld, zeggen ThreatFabric-onderzoekers dat de overgrote meerderheid van 'BlackRock-overlays' is gericht op phishing-financiële en sociale media / communicatie-apps. Er zijn echter ook overlays opgenomen voor phishing-gegevens van apps voor daten, nieuws, winkelen, lifestyle en productiviteit. De volledige lijst met gerichte apps is opgenomen in het 'BlackRock-rapport'.
Beproefde en geteste technieken
Om de overlays te laten zien, is 'BlackRock' niet zo uniek en onder de motorkap werkt 'BlackRock' tegenwoordig zoals de meeste Android-malware en gebruikt het oude, beproefde en geteste technieken.
Eenmaal geïnstalleerd op een apparaat, vraagt een kwaadaardige app die besmet is met de 'BlackRock-trojan' de gebruiker om hem toegang te verlenen tot de toegankelijkheidsfunctie van de telefoon.
De Android-toegankelijkheidsfunctie is een van de krachtigste functies van het besturingssysteem, omdat deze kan worden gebruikt om taken te automatiseren en zelfs namens de gebruiker tikken uit te voeren.
BlackRock verleent zichzelf toegang
'BlackRock' gebruikt de toegankelijkheidsfunctie om zichzelf toegang te verlenen tot andere Android-machtigingen en gebruikt vervolgens een Android DPC (apparaatbeleidcontroller, ook wel een werkprofiel genoemd) om zichzelf beheerderstoegang tot het apparaat te geven.
Vervolgens gebruikt het deze toegang om de kwaadaardige overlays te tonen, maar ThreatFabric zegt dat de trojan ook andere opdringerige bewerkingen kan uitvoeren, zoals:
- Onderscheppen van SMS-berichten, bijvoorbeeld tweestaps-verificatie-code
- SMS-spam versturen
- Contacten spammen met vooraf gedefinieerde SMS
- Het starten van specifieke apps
- Toetsaanslagen loggen (keylogger-functionaliteit)
- Aangepaste pushmeldingen weergeven
- Sabotage mobiele antivirus-apps en meer
Nep Google update pakketten
Momenteel wordt 'BlackRock' vermomd gedistribueerd als nep-Google-updatepakketten die worden aangeboden op sites van derden, en de trojan is nog niet gezien in de officiële Play Store
Android-malwarebendes hebben in het verleden echter meestal manieren gevonden om het app-beoordelingsproces van Google te omzeilen, en op een bepaald moment zullen we 'BlackRock' hoogstwaarschijnlijk in de Play Store terug zien.
Bron: threatfabric
