Un equipo de investigadores de seguridad descubrió un nuevo malware para Android que apuntó a una lista de aplicaciones sociales, de comunicaciones y de citas. El malware, llamado BlackRock, es un troyano bancario, derivado del código de malware Xerxes existente, que es una cepa conocida del troyano LokiBot Android. Sin embargo, a pesar de ser un troyano bancario, se dice que el código malicioso apunta a aplicaciones no financieras. Pretende ser una actualización de Google al principio, aunque después de recibir los permisos de los usuarios, oculta su ícono del cajón de la aplicación e inicia la acción para los malos actores.
BlackRock fue visto por primera vez en el mundo de Android en mayo, según el analista del equipo de la compañía de inteligencia de amenazas ThreatFabric, con sede en los Países Bajos. Es capaz de robar credenciales de usuario y detalles de tarjeta de crédito.
Aunque las capacidades del malware BlackRock son similares a las de los troyanos bancarios promedio de Android, apunta a un total de 337 aplicaciones, que es significativamente mayor que cualquier código malicioso conocido.
"Estos" nuevos "objetivos en su mayoría no están relacionados con las instituciones financieras y se superponen para robar los detalles de la tarjeta de crédito", dijo el equipo de ThreatFabric en una publicación de blog.
Se dice que el malware tiene el diseño para superponer ataques, enviar, enviar spam y robar mensajes SMS y bloquear el lanzamiento de la víctima. También puede actuar como un keylogger, lo que esencialmente podría ayudar a un pirata informático a adquirir información financiera. Además, los investigadores descubrieron que el malware puede desviar el uso de software antivirus como Avast, AVG, BitDefender, Eset, Trend Micro, Kaspersky o McAfee.
¿Cómo roba el malware la información del usuario?
Según ThreatFabric, BlackRock recopila información sobre los usuarios al abusar del servicio de accesibilidad de Android y superponer una pantalla falsa en la parte superior de una aplicación original. Una de las pantallas de superposición utilizadas para actividades maliciosas es una vista genérica de captura de tarjeta que podría ayudar a los atacantes a obtener los detalles de la tarjeta de crédito de la víctima. El malware también puede traer una aplicación específica de destino para phishing de credenciales.
[19659002] BlackRock pide a los usuarios que otorguen acceso a la función del Servicio de accesibilidad después de emerger como una Actualización de Google. Una vez otorgado, oculta el ícono de la aplicación del cajón de aplicaciones e inicia el proceso malicioso en segundo plano. También puede otorgar otros permisos después de obtener acceso al Servicio de Accesibilidad e incluso usar perfiles de trabajo de Android para controlar un dispositivo comprometido.
Lista de aplicaciones de destino extendidas
"En el caso de BlackRock, las características no son muy innovadoras, pero la lista de objetivos tiene una amplia cobertura internacional y contiene muchos objetivos nuevos que no son nunca antes había sido blanco ", observaron los investigadores en la publicación del blog.
La lista de 226 aplicaciones de destino específicamente para el robo de credenciales de BlackRock incluye Amazon, Google Play Services, Gmail, Microsoft Outlook y Netflix, entre otros. Del mismo modo, también hay 111 aplicaciones de robo de tarjetas de crédito que incluyen nombres populares como Facebook, Instagram, Skype, Twitter y WhatsApp.
"Aunque BlackRock propone un nuevo troyano con una lista exhaustiva de objetivos, examinando los intentos fallidos anteriores de los actores para relanzar LokiBot a través de nuevas variantes, aún no podemos predecir cuánto tiempo BlackRock permanecerá activo en el panorama de amenazas", dijo el investigadores.
Google no ha proporcionado claridad sobre cómo administrará el entorno BlackRock. Dicho esto, se recomienda a los usuarios que eviten instalar aplicaciones de cualquier fuente desconocida o que otorguen permisos a un & # 39; aplicación extraña.
En 2020, ¿obtendrá WhatsApp la característica asesina que todo indio está esperando? Lo discutimos en Orbital, nuestro podcast tecnológico semanal, al que puede suscribirse a través del podcast de Apple o RSS, descargar el episodio o simplemente presione el botón de reproducción a continuación.
.