jueves, 30 de julio de 2020

BlackRock, el troyano para Android que suplanta apps y roba credenciales



     BlackRock es derivado del código fuente del malware bancario Xerxes, una variante del troyano LokiBot Android.

Una de las peculiaridades de BlackRock, es que apunta a aplicaciones no financieras de Android, como redes sociales, mensajería instantánea y plataformas de citas. BlackRock utiliza la solicitud de privilegios del Servicio de Accesibilidad, camuflándose para solicitarlo y ocultando su icono cuando se inicia. A la hora de actuar, necesita permisos adicionales para que el bot funcione completamente y así la víctima, no tiene que interactuar con la misma.

El atacante que ha infectado el dispositivo puede realizar diferentes funciones de forma remota, como son ataques de superposición, lanzar comandos para el registro de pulsaciones de teclas, enviar spam a la lista de los contactos de las víctimas, configurar el malware como el administrador de SMS predeterminado y el bloqueo a las víctimas para que no puedan iniciarse o usen antivirus o software de limpieza del sistema.

A la hora de crear BlackRock, los creadores tuvieron en cuenta de que no quedasen características innecesarias del código de Xerxes, eliminando las capacidades que no fueron útiles en sus objetivos para robar inicios de sesión e información financiera.

BlackRock tiene una gran lista de aplicaciones para realizar el robo de credenciales, unas 226 tales como Microsoft Outlook, Gmail, Uber, Amazon, Netflix todas ellas de servicios de Google Play y muchas otras de aplicaciones bancarias o de billetera de criptomonedas, Santander, Barcleys, ING, RBS, Bitplay, Binance y Coinbase.

Otra lista, es la de aplicaciones que contienen tarjetas de crédito para su robo, unas 111 en total, entre otras son Telegram, WhatsApp, Twitter, Skype, Instagram, Facebook y Play Store.


No hay comentarios:

Publicar un comentario