在犯罪的黑社会中出现了一种新的Android恶意软件,它具有广泛的数据盗窃功能,可以针对多达337个Android应用程序进行攻击。
名为贝莱德(BlackRock)的新威胁于今年5月出现,并从移动安全公司ThreatFabric发现。
研究人员说,该恶意软件基于另一种恶意软件泄漏的源代码(Xerxes,其自身基于其他恶意软件菌株),但通过附加功能进行了增强,尤其是在处理盗用用户密码和信用卡信息方面。
不过,贝莱德仍然像大多数Android银行木马一样工作,除了它的目标应用程序比大多数其前身更多。
该木马会窃取登录凭据(用户名和密码)(如果有),如果该应用程序支持金融交易,还会提示受害者输入支付卡详细信息。
根据ThreatFabric,数据收集是通过一种称为“覆盖”的技术进行的,该技术包括检测用户何时尝试与合法应用进行交互,并在顶部显示一个假窗口,以在允许用户之前收集受害者的登录详细信息和卡数据。输入预期的合法应用。
在发布前一周与ZDNet共享的一份报告中,ThreatFabric研究人员表示,绝大多数BlackRock覆盖图都是针对网络钓鱼金融和社交媒体/通信应用程序的。但是,其中也包含用于约会,新闻,购物,生活方式和生产力应用程序的网络钓鱼数据的覆盖图。BlackRock报告中包含目标应用程序的完整列表。
为了显示覆盖图,BlackRock并不是那么独特,并且在底层,BlackRock如今像大多数Android恶意软件一样工作,并使用了经过考验的古老技术。
一旦安装在设备上,感染了BlackRock木马的恶意应用程序会要求用户授予其对手机的辅助功能的访问权限。
Android可访问性功能是操作系统最强大的功能之一,因为它可用于自动执行任务,甚至代表用户执行点击。
贝莱德(BlackRock)使用可访问性功能授予自己对其他Android权限的访问权限,然后使用Android DPC(设备策略控制器,也称为工作资料)向自身授予对设备的管理员访问权限。
然后,它使用此访问权限显示恶意覆盖,但是ThreatFabric说,该木马还可以执行其他侵入性操作,例如:
- 拦截短信
- 执行短信泛滥
- 带有预定义短信的垃圾邮件联系人
- 启动特定的应用
- 记录按键点击(按键记录器功能)
- 显示自定义推送通知
- 破坏移动防病毒应用程序等
目前,贝莱德(BlackRock)伪装成在第三方网站上提供的伪造Google更新包,并且尚未在官方Play商店中发现该木马。
但是,Android恶意软件帮派过去通常会找到绕过Google应用程序审查过程的方法,在某一点或另一点,我们很可能会在Play商店中部署BlackRock。
*编译:Domino
*来自:zdnet