Los investigadores de ciberseguridad descubrieron hoy una nueva variedad de malware bancario que se dirige no solo a aplicaciones bancarias sino que también roba datos y credenciales de las redes sociales, las citas y las aplicaciones de criptomonedas, un total de 337 aplicaciones no financieras de Android en su lista de objetivos.
Apodado » BlackRock » por los investigadores de ThreatFabric, que descubrieron el troyano en mayo, su código fuente se deriva de una versión filtrada del malware bancario Xerxes, que en sí mismo es una cepa del troyano bancario Android LokiBot que se observó por primera vez durante 2016-2017.
La principal de sus características es robar credenciales de usuario, interceptar mensajes SMS, secuestrar notificaciones e incluso grabar pulsaciones de teclas de las aplicaciones específicas, además de ser capaz de esconderse del software antivirus.
«No solo el troyano [BlackRock] sufrió cambios en su código, sino que también viene con una mayor lista de objetivos y ha estado en curso durante un período más largo», dijo ThreatFabric.
«Contiene una cantidad importante de aplicaciones sociales, de redes, de comunicación y de citas [que] no se han observado en las listas de objetivos para otros troyanos bancarios existentes».
BlackRock realiza la recopilación de datos al abusar de los privilegios del Servicio de Accesibilidad de Android, para lo cual busca los permisos de los usuarios bajo la apariencia de falsas actualizaciones de Google cuando se inicia por primera vez en el dispositivo, como se muestra en las capturas de pantalla compartidas.
Posteriormente, se otorga permisos adicionales y establece una conexión con un servidor de comando y control remoto (C2) para llevar a cabo sus actividades maliciosas mediante la inyección de superposiciones en las pantallas de inicio de sesión y pago de las aplicaciones específicas.
Estas superposiciones de robo de credenciales se han encontrado en aplicaciones bancarias que operan en Europa, Australia, EE. UU. Y Canadá, así como en aplicaciones comerciales, de comunicación y comerciales.
«La lista objetivo de aplicaciones no financieras contiene aplicaciones famosas como Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit y Tumblr, entre otras. «Los investigadores le dijeron a The Hacker News.
Esta no es la primera vez que el malware móvil ha abusado de las funciones de accesibilidad de Android.
A principios de este año, los investigadores de IBM X-Force detallaron una nueva campaña de TrickBot, llamada TrickMo , que se encontró exclusivamente dirigida a usuarios alemanes con malware que utilizaba mal las funciones de accesibilidad para interceptar contraseñas de un solo uso (OTP), TAN móvil (mTAN) y autenticación pushTAN códigos
Luego, en abril, Cybereason descubrió una clase diferente de malware bancario conocido como EventBot que aprovechó la misma característica para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados en SMS.
Lo que hace que la campaña de BlackRock sea diferente es la amplitud de las aplicaciones específicas, que van más allá de las aplicaciones de banca móvil que generalmente se destacan.
«Después de Alien, Eventbot y BlackRock, podemos esperar que los actores de amenazas con motivación financiera construyan nuevos troyanos bancarios y continúen mejorando los existentes», concluyeron los investigadores de ThreatFabric.
«Con los cambios que esperamos que se realicen en los troyanos de banca móvil, la línea entre el malware bancario y el spyware se vuelve más delgada, [y] el malware bancario representará una amenaza para más organizaciones».
