Denominado "BlackRock" es capaz de esconderse del software antivirus
Investigadores de seguridad cibernética descubrieron hoy una nueva variedad de malware bancario que se dirige no solo a aplicaciones bancarias sino que también roba datos y credenciales de las aplicaciones de redes sociales, citas y criptomonedas, en total 337 aplicaciones Android no financieras en su lista de objetivos.
Denominado "BlackRock" por los investigadores de ThreatFabric, que descubrieron el troyano en mayo, su código fuente se deriva de una versión filtrada del malware bancario Xerxes, que es una cepa del troyano bancario Android LokiBot que se observó por primera vez durante 2016-2017.
La principal de sus características es robar credenciales de usuario, interceptar mensajes SMS, secuestrar notificaciones e incluso grabar pulsaciones de teclas de las aplicaciones específicas, además de ser capaz de esconderse del software antivirus.
"No solo el troyano [BlackRock] sufrió cambios en su código, sino que también viene con una mayor lista de objetivos y ha estado en curso durante un período más largo", dijo ThreatFabric.
"Contiene una importante cantidad de aplicaciones sociales, de redes, de comunicación y de citas [que] no se han observado en las listas de objetivos para otros troyanos bancarios existentes".
BlackRock realiza la recopilación de datos al abusar de los privilegios del Servicio de Accesibilidad de Android, para lo cual busca los permisos de los usuarios con el pretexto de falsas actualizaciones de Google cuando se inicia por primera vez en el dispositivo, como se muestra en las capturas de pantalla compartidas.
Posteriormente, se otorga permisos adicionales y establece una conexión con un servidor de comando y control remoto (C2) para llevar a cabo sus actividades maliciosas mediante la inyección de superposiciones en las pantallas de inicio de sesión y pago de las aplicaciones específicas.
Estas superposiciones de robo de credenciales se han encontrado en aplicaciones bancarias que operan en Europa, Australia, EE. UU. y Canadá, así como en aplicaciones de tiendas, de comunicación y comerciales.
"La lista objetivo de aplicaciones no financieras contiene aplicaciones famosas como Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit y Tumblr, entre otras", dijeron los investigadores.
Esta no es la primera vez que el malware móvil ha abusado de las funciones de accesibilidad de Android.
A principios de este año, los investigadores de IBM X-Force detallaron una nueva campaña de TrickBot, llamada TrickMo, que se encontró exclusivamente dirigida a usuarios alemanes con malware que usaba mal las funciones de accesibilidad para interceptar contraseñas de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN.
Luego, en abril, Cybereason descubrió una clase diferente de malware bancario conocido como EventBot que aprovechó la misma característica para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados en SMS.
Lo que hace que la campaña de BlackRock sea diferente es la amplitud de las aplicaciones dirigidas, que van más allá de las aplicaciones de banca móvil a las que generalmente están dirigidas.
"Después de Alien, Eventbot y BlackRock, podemos esperar que los actores de amenazas con motivación financiera construyan nuevos troyanos bancarios y continúen mejorando los existentes", concluyeron los investigadores de ThreatFabric.
"Con los cambios que esperamos que se realicen en los troyanos de banca móvil, se vuelve más delgada la línea entre el malware bancario y el spyware, [y] el malware bancario representará una amenaza para más organizaciones".