BlackRock Malware stiehlt Daten von 337 Android Apps
20. Juli 2020BlackRock Malware stiehlt Daten von 337 Android Apps
Den Haag, 20.7.2020
Die Niederländische Sicherheitsfirma ThreatFabric hat die Malware „BlackRock“ entdeckt. Sie kann Daten von etwa 337 Apps abziehen. Ihr Ziel sind u.a. Social-, Kommunikations- und Dating-Apps.
Eine Besonderheit dieses Tools ist die enorme Anzahl von Apps, auf die es sich Zugriff verschafft um Daten zu stehlen. Eine Erklärung dafür ist wohl die für den Nutzer nicht erkennbare Prozedur für den Datenklau. Sobald BlackRock auf einem Gerät installiert ist, überwacht und erkennt das Tool , wann eine der Apps, auf die es abzielt, geöffnet wird. Zu diesem Zeitpunkt wird ein „Overlay“ auf dem Bildschirm angezeigt, das wie die echte App aussieht, aber tatsächlich gefälscht ist. Da der Benutzer dies nicht erkennt, gibt er seine Anmelde- und / oder Kartendetails ein und BlackRock sendet sie an einen Server.
BlackRock erhält Root-Zugriff, indem es bei der Erstinstallation nach Accessibility Service-Berechtigungen fragt. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine Accessibility-App läuft im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Darüber hinaus haben die Forscher herausgefunden, dass die Malware die Verwendung einer Antivirensoftware wie Avast, AVG, BitDefender, Eset, Trend Micro, Kaspersky oder McAfee ablenken kann.
Derzeit befindet sich BlackRock nicht im Play Store und infiltriert Geräte, indem es als gefälschtes Google Update in Drittanbieter-Stores angeboten wird. ThreatFabric erklärt: „Sobald der Benutzer das angeforderte Accessibility Service-Privileg erteilt hat, erteilt sich BlackRock zunächst zusätzliche Berechtigungen. Diese zusätzlichen Berechtigungen sind erforderlich, damit der Bot voll funktionsfähig ist, ohne weiter mit dem Opfer interagieren zu müssen. Wenn dies erledigt ist, ist der Bot bereit, Befehle vom C2-Server zu empfangen und die Overlay-Angriffe auszuführen. „
Zusätzlich zu den gefälschten Overlays kann BlackRock Keylogging- Berechtigungen erteilen, SMS sammeln und senden, sowie u.a. Bildschirme sperren und Geräteinformationen erfassen.
Die Apps, auf die die Malware abzielt, decken die üblichen finanziellen und sozialen Apps ab, umfassen die Kategorien Bücher und Nachschlagewerke, Business, Kommunikation, Dating, Unterhaltung, Lifestyle, Musik und Audio, Nachrichten und Magazine, Tools und Videoplayer & Editoren.
Nach Ansicht von ThreatFabric ist BlackRock eine sehr robuste Malware-Sorte. Man könne auch nicht erkennen, wie lange BlackRock in der Bedrohungslandschaft aktiv sein wird. Die Firma betont jedoch: „Der wichtigste Aspekt, um den man sich kümmern muss, ist die Sicherung der Online-Banking-Kanäle.“
