Новий вірус краде логіни, паролі та платіжні дані в сотнях додатків

Компанія ThreatFabric виявила новий троян, який отримав назву BlackRock. Він націлений атакувати смартфони на базі Android і входить до складу додатків та ігор, які поширюються через піратські сайти і магазини. Хакери також маскують його під оновлення Android і іншого популярного софта.

Примітно, що BlackRock був створений на основі вихідного коду трояна Xerxes, який, в свою чергу, представляє з себе модифікацію більш раннього шкідливого і далі по ланцюжку ще через кілька старих вірусів. У BlackRock було додано кілька нових можливостей, в тому числі сумісність з 337 популярними мобільними додатками.

BlackRock викрадає особисті та платіжні дані за допомогою накладення. При введенні цінної інформації троян замінює легітимне вікно додатка підробленими і відправляє на віддалений сервер введені користувачів облікові дані або номер карти з терміном дії і захисним кодом.

Щоб мати можливість виводити оверлей, троян задіє щодо стару вразливість Android, запитуючи у користувача дозвіл на доступ до Accessibility Service. Отримавши ці права, BlackRock сам собі видає всі інші необхідні дозволи (наприклад, читання SMS для підтвердження платежів і перекладів). На смартфонах зі старими версіями Android цей троян може отримати root-доступ, використовуючи інструмент Android DPC.

Можливості BlackRock:

• Перехоплення SMS-повідомлень
• Використання SMS-флуда
• Спам всім контактами по SMS
• Запуск конкретних програм
• Перехоплювання натискань на клавіатурі
• Показ push-повідомлень
• Відключення антивірусних програм

BlackRock атакує в основному банківські додатки, месенджери і соціальні мережі. Цей вірус також може бути задіяний на сервісах знайомств, в новинних програмах, інтернет-магазинах і маркетплейсах – всюди, де користувач оплачує що-небудь.

Додатки, заражені BlackRock, не зустрічаються в Play Маркеті, тому кращий спосіб убезпечити себе від цього трояна, – користуватися тільки офіційним магазином контенту на Android.