Un nouveau logiciel malveillant Android découvert qui peut voler vos informations d'identification et les détails de votre carte de crédit

parFlorian publié le

Un nouveau malware Android a été découvert par une équipe de chercheurs en sécurité qui cible une liste d'applications sociales, de communication et de rencontres. Le malware, appelé BlackRock, est un cheval de Troie bancaire – dérivé du code du malware Xerxes existant qui est une souche connue du cheval de Troie Android LokiBot. Cependant, bien qu'il soit un cheval de Troie bancaire, le code malveillant ciblerait les applications non financières. Il prétend être une mise à jour Google au début, bien qu'après avoir reçu les autorisations de l'utilisateur, il cache son icône dans le tiroir de l'application et lance l'action pour les mauvais acteurs.

BlackRock a été repéré pour la première fois dans le monde Android en mai, selon l'équipe d'analystes de la société néerlandaise ThreatFabric. Il est capable de voler les informations d'identification des utilisateurs ainsi que les détails de la carte de crédit.

Bien que les capacités du malware BlackRock soient similaires à celles des chevaux de Troie bancaires Android moyens, il cible un total de 337 applications, ce qui est nettement supérieur à celui de tous les codes malveillants déjà connus.

«Ces« nouvelles »cibles ne sont pour la plupart pas liées aux institutions financières et sont superposées afin de voler les détails des cartes de crédit», a déclaré l'équipe de ThreatFabric dans un article de blog.

On dit que le malware a la conception de superposer les attaques, d'envoyer, de spammer et de voler des messages SMS, ainsi que de verrouiller la victime dans l'activité du lanceur. Il peut également agir comme un enregistreur de frappe, ce qui pourrait essentiellement aider un pirate informatique à acquérir des informations financières. De plus, les chercheurs ont découvert que le malware est capable de dévier l'utilisation d'un logiciel antivirus tel qu'Avast, AVG, BitDefender, Eset, Trend Micro, Kaspersky ou McAfee.

Comment le malware vole-t-il les informations des utilisateurs?
Selon ThreatFabric, BlackRock recueille des informations sur les utilisateurs en abusant du service d'accessibilité d'Android et en superposant un faux écran au-dessus d'une véritable application. L'un des écrans de superposition utilisés pour les activités malveillantes est une vue générique de saisie de carte qui pourrait aider les attaquants à obtenir les détails de carte de crédit de la victime. Le logiciel malveillant peut également apporter une application spécifique par cible pour le phishing d'informations d'identification.

BlackRock écrans de superposition menacefabric BlackRock Android malware

BlackRock acquiert des données utilisateur en utilisant une technique de superposition
Crédit photo: ThreatFabric

BlackRock demande aux utilisateurs d'accorder l'accès à la fonctionnalité du service d'accessibilité après avoir fait surface en tant que mise à jour Google. Une fois accordé, il masque son icône d'application dans le tiroir de l'application et démarre le processus malveillant en arrière-plan. Il peut également accorder d'autres autorisations lui-même après avoir obtenu l'accès au service d'accessibilité et peut même utiliser des profils de travail Android pour contrôler un appareil compromis.

Liste complète des applications cibles
«Dans le cas de BlackRock, les fonctionnalités ne sont pas très innovantes, mais la liste des cibles a une large couverture internationale et elle contient un grand nombre de nouvelles cibles qui n'ont jamais été vues comme étant ciblées auparavant», ont noté les chercheurs dans le blog.

La liste des 226 applications ciblées spécifiquement pour le vol d'informations d'identification de BlackRock comprend Amazon, Google Play Services, Gmail, Microsoft Outlook et Netflix, entre autres. De même, il existe 111 applications cibles de vol de carte de crédit qui incluent des noms populaires tels que Facebook, Instagram, Skype, Twitter et WhatsApp.

«Bien que BlackRock pose un nouveau cheval de Troie avec une liste de cibles exhaustive, en examinant les tentatives infructueuses précédentes des acteurs pour relancer LokiBot à travers de nouvelles variantes, nous ne pouvons pas encore prédire combien de temps BlackRock sera actif sur le paysage des menaces», ont déclaré les chercheurs.

Google n'a pas précisé comment il gérerait la portée de BlackRock. Cela dit, il est recommandé aux utilisateurs de ne pas installer d'applications à partir d'une source inconnue ou d'accorder des autorisations à une application étrange.

En 2020, WhatsApp obtiendra-t-il la fonctionnalité de tueur que chaque Indien attend? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Apple Podcasts ou RSS, télécharger l'épisode ou simplement cliquer sur le bouton de lecture ci-dessous.