Компанія ThreatFabric виявила новий троян, який отримав назву BlackRock. Він націлений атакувати смартфони на базі Android і входить до складу додатків та ігор, які поширюються через піратські сайти і магазини. Хакери також маскують його під оновлення Android і іншого популярного софта.
Примітно, що BlackRock був створений на основі вихідного коду трояна Xerxes, який, в свою чергу, представляє з себе модифікацію більш раннього шкідливого і далі по ланцюжку ще через кілька старих вірусів. У BlackRock було додано кілька нових можливостей, в тому числі сумісність з 337 популярними мобільними додатками.
BlackRock викрадає особисті та платіжні дані за допомогою накладення. При введенні цінної інформації троян замінює легітимне вікно додатка підробленими і відправляє на віддалений сервер введені користувачів облікові дані або номер карти з терміном дії і захисним кодом.
Щоб мати можливість виводити оверлей, троян задіє щодо стару вразливість Android, запитуючи у користувача дозвіл на доступ до Accessibility Service. Отримавши ці права, BlackRock сам собі видає всі інші необхідні дозволи (наприклад, читання SMS для підтвердження платежів і перекладів). На смартфонах зі старими версіями Android цей троян може отримати root-доступ, використовуючи інструмент Android DPC.
Можливості BlackRock:
- Перехоплення SMS-повідомлень
- Використання SMS-флуда
- Спам всім контактами по SMS
- Запуск конкретних програм
- Перехоплювання натискань на клавіатурі
- Показ push-повідомлень
- Відключення антивірусних програм
BlackRock атакує в основному банківські додатки, месенджери і соціальні мережі. Цей вірус також може бути задіяний на сервісах знайомств, в новинних програмах, інтернет-магазинах і маркетплейсах – всюди, де користувач оплачує що-небудь.
Додатки, заражені BlackRock, не зустрічаються в Play Маркеті, тому кращий спосіб убезпечити себе від цього трояна, – користуватися тільки офіційним магазином контенту на Android.