Novo malware BlackRock Android pode roubar senhas e dados de cartão de 337 aplicativos

Os aplicativos Android segmentados por este novo cavalo de Troia (BlackRock) incluem aplicativos bancários, de namoro, de mídia social e de mensagens instantâneas.

22

Uma nova linhagem de malware para Android surgiu no submundo do crime, equipado com uma ampla gama de recursos de roubo de dados, permitindo atingir os 337 aplicativos Android.

Nomeada BlackRock, essa nova ameaça surgiu em maio deste ano e foi descoberta pela empresa de segurança móvel ThreatFabric.

Pesquisadores dizem que o malware foi baseado no código fonte vazado de outra linhagem de malware (Xerxes, baseada em outras linhagens de malware), mas foi aprimorado com recursos adicionais, especialmente no lado que lida com o roubo de senhas de usuários e informações de cartão de crédito.

blackrock-evolution

O BlackRock ainda funciona como a maioria dos cavalos de Troia do Android, exceto que tem como alvo mais aplicativos do que a maioria de seus antecessores.

O cavalo de Troia roubará as credenciais de login (nome de usuário e senhas), quando disponíveis, mas também solicitará que a vítima insira os detalhes do cartão de pagamento, se os aplicativos suportarem transações financeiras.

Por ThreatFabric, a coleta de dados ocorre por meio de uma técnica chamada “sobreposições”, que consiste em detectar quando um usuário tenta interagir com um aplicativo legítimo e mostrar uma janela falsa na parte superior que coleta os detalhes de login da vítima e os dados do cartão antes de permitir que o usuário para entrar no aplicativo legítimo pretendido.

Em um  relatório  compartilhado com o ZDNet nesta semana antes da publicação, os pesquisadores do ThreatFabric dizem que a grande maioria das sobreposições do BlackRock é voltada para phishing de aplicativos de mídia / comunicação financeiros e sociais. No entanto, também existem sobreposições para dados de phishing de aplicativos de namoro, notícias, compras, estilo de vida e produtividade. A lista completa de aplicativos direcionados está incluída no relatório BlackRock.

 

Para mostrar as sobreposições, o BlackRock não é tão único e, sob os bastidores, o BlackRock funciona como a maioria dos malwares do Android atualmente e usa técnicas antigas, experimentadas e testadas.

Uma vez instalado em um dispositivo, um aplicativo mal-intencionado contaminado com o Trojan BlackRock pede ao usuário que conceda acesso ao recurso de acessibilidade do telefone.

O recurso de acessibilidade do Android é um dos recursos mais poderosos do sistema operacional, pois pode ser usado para automatizar tarefas e até executar toques em nome do usuário.

O BlackRock usa o recurso de acessibilidade para conceder acesso a outras permissões do Android e, em seguida, usa um Android DPC (controlador de política de dispositivo, também conhecido como perfil de trabalho) para obter acesso de administrador ao dispositivo.

Em seguida, ele usa esse acesso para mostrar as sobreposições maliciosas, mas o ThreatFabric diz que o cavalo de Troia também pode executar outras operações intrusivas, como:

  • Interceptar mensagens SMS
  • Realizar inundações por SMS
  • Contatos de spam com SMS predefinido
  • Iniciar aplicativos específicos
  • Toque nas teclas de registro (funcionalidade do keylogger)
  • Mostrar notificações push personalizadas
  • Sabotar aplicativos antivírus móveis e muito mais

Atualmente, o BlackRock é distribuído disfarçado como pacotes falsos de atualização do Google oferecidos em sites de terceiros, e o cavalo de Troia ainda não foi visto na Play Store oficial.

No entanto, as gangues de malware do Android geralmente encontraram maneiras de contornar o processo de revisão de aplicativos do Google no passado e, em um momento ou outro, provavelmente veremos o BlackRock implantado na Play Store.

Fonte: ZDnet

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.