Les chercheurs en sécurité ont découvert une nouvelle famille de logiciels malveillants bancaires Android appelée «BlackRock» qui cible 337 applications mobiles.
ThreatFabric a découvert que BlackRock avait caché son icône lors de son premier lancement sur un appareil mobile. Il s’est ensuite présenté comme une mise à jour de Google dans le but d’accéder au service d’accessibilité d’un utilisateur. Une fois qu’il a eu accès à ces privilèges, le logiciel malveillant s’est accordé des autorisations supplémentaires qui lui ont permis de communiquer avec son serveur de commande et de contrôle (C&C) et d’effectuer des attaques par superposition.
À ce stade de sa chaîne d’infection, BlackRock a vérifié quelle application s’exécutait au premier plan sur le périphérique infecté. Le logiciel malveillant Android avait alors la possibilité de déployer l’un des deux types de superpositions: une carte de crédit générique ou une superposition qui imitait spécifiquement l’une des 337 applications qui figuraient sur les listes cibles de la menace.
En analysant la liste des cibles de BlackRock, ThreatFabric a constaté que la majorité des applications concernaient les opérations bancaires en Europe, suivies de l’Australie, des États-Unis et du Canada. Malgré cela, la société de sécurité a constaté que le malware bancaire s’attaquait également aux programmes sociaux, de communication, de style de vie et même de rencontres.
Comme il l’a expliqué dans ses recherches:
La plupart des applications sociales et de rencontres tendances sont incluses, le choix des acteurs pourrait avoir été dicté par la situation pandémique, poussant les gens à socialiser davantage en ligne. Il semble également que les acteurs aient fait un effort particulier pour inclure des applications de rencontres, ce qui n’était pas quelque chose de commun jusqu’à présent dans la liste des cibles.
Selon l’analyse de ThreatFabric, BlackRock est arrivé comme la dernière tentative d’acteurs malveillants pour faire revivre LokiBot. Cette menace est apparue pour la première fois dans le paysage des menaces en 2016 et 2017 avec diverses campagnes d’attaques, dont une dans laquelle elle ransomware déployé si un utilisateur a tenté de le supprimer. LokiBot est mort après que son code source soit apparu en ligne, bien qu’il ait été impliqué dans certaines opérations d’attaque aussi récemment que Mai 2019.
L’émergence de BlackRock souligne la nécessité pour les organisations de se défendre contre les logiciels malveillants bancaires mobiles en téléchargeant des applications uniquement à partir de développeurs de confiance sur les marchés officiels des applications, en gardant un œil sur les applications qui nécessitent des autorisations excessives et en protégeant leurs comptes bancaires avec une certaine forme de multi-facteurs. authentification.