Pesquisadores da ThreatFabric publicaram um relatório sobre o estudo de um novo Trojan no sistema operacional Android, chamado BlackRock. Este malware tem como objetivo roubar dados de vários aplicativos, incluindo aplicativos de namoro, mensageiros instantâneos, produtos bancários, redes sociais e assim por diante. No total, o trojan pode atacar 337 formulários.
Esta ameaça foi notada pela primeira vez em maio deste ano, mas suas raízes na BlackRock vão muito além. O fato é que o trojan é baseado em códigos-fonte “vazados” de outro malware, Xerxes, qual, por sua vez, também foi baseado nas fontes de outros malwares.
Note-se que ao BlackRock foram adicionadas novas funcionalidades, em particular projetado para roubar senhas de usuários e informações de cartões bancários.
Geral, BlackRock funciona da mesma maneira que a maioria dos outros banqueiros Android; ele apenas visa mais aplicativos. Então, o trojan rouba credenciais do usuário, mas se possível, solicita que a vítima insira informações do cartão de pagamento (se o aplicativo de destino suportar transações financeiras).
“A coleta e o roubo de dados são feitos por meio de sobreposições. Aquilo é, o malware detecta quando um usuário tenta interagir com qualquer aplicativo legítimo e exibe seu próprio aplicativo falso no topo desta janela, onde a vítima insere suas credenciais ou detalhes do cartão”, – escrito por especialistas do ThreatFabric.
Para poder exibir essas janelas sobre outros aplicativos, o trojan usa um truque antigo e pede ao usuário acesso ao Serviço de Acessibilidade. Tendo recebido esses direitos, o malware concede a si mesmo outras permissões necessárias por conta própria, e, em seguida, obtém acesso de administrador completo no dispositivo usando Android DPC.
Os pesquisadores do ThreatFabric escrevem que a maioria das sobreposições BlackRock são projetadas para atacar aplicações financeiras, bem como mídias sociais. No entanto, existem sobreposições para outros tipos de aplicativos, incluindo namoro, notícias, compras e assim por diante. Uma lista completa de aplicativos direcionados pode ser encontrada no relatório do especialista.
Além de impor sobreposições de phishing, o Trojan pode realizar outras operações maliciosas:
- interceptar mensagens SMS;
- usar inundação de SMS;
- enviar spam para todos os contatos com SMS predefinidos;
- executar aplicativos específicos;
- interceptar cliques (registrador de teclas);
- mostrar notificações push;
- sabotar a operação de aplicativos antivírus.
Atualmente, a BlackRock está se espalhando por meio de sites fraudulentos que se disfarçam como pacotes falsos de atualização do Google. Até que o Trojan foi encontrado na Google Play Store oficial.
Deixe-me lembrá-lo que escrevi recentemente sobre dois novos malwares, que pode roubar cookies de aplicativos Android.