Los investigadores de seguridad cibernética descubrieron hoy una nueva variedad de malware bancario que se dirige no solo a aplicaciones bancarias sino que también roba datos y credenciales de las aplicaciones de redes sociales, citas y criptomonedas, en total 337 aplicaciones Android no financieras en su lista de objetivos.
Apodado ” BlackRock ” por los investigadores de ThreatFabric, que descubrieron el troyano en mayo, su código fuente se deriva de una versión filtrada del malware bancario Xerxes, que es una cepa del troyano bancario LokiBot Android que se observó por primera vez durante 2016-2017.
La principal de sus características es robar credenciales de usuario, interceptar mensajes SMS, secuestrar notificaciones e incluso grabar pulsaciones de teclas de las aplicaciones específicas, además de ser capaz de esconderse del software antivirus.
“No solo el troyano [BlackRock] sufrió cambios en su código, sino que también viene con una mayor lista de objetivos y ha estado en curso durante un período más largo”, dijo ThreatFabric.
“Contiene una cantidad importante de aplicaciones sociales, de redes, de comunicación y de citas [que] no se han observado en las listas de objetivos para otros troyanos bancarios existentes”.
BlackRock realiza la recopilación de datos al abusar de los privilegios del Servicio de Accesibilidad de Android, para lo cual busca los permisos de los usuarios con el pretexto de actualizaciones falsas de Google cuando se inicia por primera vez en el dispositivo, como se muestra en las capturas de pantalla compartidas.
Posteriormente, se otorga permisos adicionales y establece una conexión con un servidor de comando y control remoto (C2) para llevar a cabo sus actividades maliciosas mediante la inyección de superposiciones en las pantallas de inicio de sesión y pago de las aplicaciones específicas.
Estas superposiciones de robo de credenciales se han encontrado en aplicaciones bancarias que operan en Europa, Australia, EE. UU. Y Canadá, así como en aplicaciones comerciales, de comunicación y comerciales.
“La lista objetivo de aplicaciones no financieras contiene aplicaciones famosas como Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit y Tumblr, entre otras. “Los investigadores le dijeron a The Hacker News.
Esta no es la primera vez que el malware móvil ha abusado de las funciones de accesibilidad de Android.
Luego, en abril, Cybereason descubrió una clase diferente de malware bancario conocido como EventBot que aprovechó la misma función para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados en SMS.
Lo que hace que la campaña de BlackRock sea diferente es la amplitud de las aplicaciones específicas, que van más allá de las aplicaciones de banca móvil que generalmente son específicas.
“Después de Alien, Eventbot y BlackRock, podemos esperar que los actores de amenazas con motivación financiera construyan nuevos troyanos bancarios y continúen mejorando los existentes”, concluyeron los investigadores de ThreatFabric.
“Con los cambios que esperamos que se realicen en los troyanos de banca móvil, la línea entre el malware bancario y el spyware se vuelve más delgada, [y] el malware bancario representará una amenaza para más organizaciones”.