یک نوع بدافزار جدید اندرویدی زیرزمینی پدیدار شده است که مجهز به طیف گسترده ای از قابلیت های سرقت داده است و به آن امکان می دهد ۳۳۷ برنامه Android را هدف قرار دهد.
این تهدید جدید با نام BlackRock (صخره سیاه) در ماه مه پدیدار شد و شرکت امنیتی موبایل ThreatFabric آن را کشف کرد.
محققان می گویند این بدافزار مبتنی بر کد منبع فاش شده از سوی دیگر بدافزارها است (Xerxes ، که خود مبتنی بر سایر سویه های بدافزار است) اما با ویژگی های اضافی به ویژه در سمت جانبی که به سرقت رمزهای عبور کاربر و اطلاعات کارت اعتباری می پردازد ، بهبود یافته است.
تروجان هر دو اعتبار ورود به سیستم (نام کاربری و کلمه عبور) را به سرقت می برد ، و همچنین قربانی را وادار می کند در صورت پشتیبانی از برنامه های معاملات مالی ، جزئیات کارت پرداخت خود را وارد کند.
محققان ThreatFabric می گویند اکثر قریب به اتفاق پوشش های BlackRock به سمت فیشینگ برنامه های رسانه ای و ارتباطی مالی و اجتماعی است. با این حال ، همچنین پوششی برای داده های فیشینگ از برنامه های دوستیابی ، اخبار ، خرید ، شیوه زندگی و بهره وری درج شده است. لیست کامل برنامه های هدفمند در گزارش BlackRock گنجانده شده است.
پس از نصب بر روی یک دستگاه ، یک برنامه مخرب که با تروجان BlackRock آلوده شده است ، از کاربر می خواهد که دسترسی قابلیت دسترسی تلفن را به او بدهد.
ویژگی Android Accessibility یکی از قدرتمندترین ویژگی سیستم عامل است ، زیرا می توان از این طریق برای اتوماسیون کارها و حتی انجام کارهای توسعه دهنده ها از طرف کاربر استفاده کرد.
BlackRock از ویژگی Accessibility برای دسترسی به سایر مجوزهای Android استفاده می کند و سپس از Android DPC (کنترل خط مشی دستگاه ، با نام مستعار کار) برای دسترسی به مدیر خود به دستگاه استفاده می کند.
سپس از این دسترسی برای نشان دادن پوشش های مخرب استفاده می کند ، اما ThreatFabric می گوید که تروجان همچنین می تواند عملیات مزاحم دیگری مانند:
- پیام های SMS را رهگیری کنید
- سیل پیامکی را انجام دهید
- مخاطبین هرزنامه با پیام کوتاه از پیش تعریف شده
- برنامه های خاص را شروع کنید
- شیرهای کلید ورود به سیستم (قابلیت keylogger)
- اعلان های فشار سفارشی را نشان دهید
- برنامه های ضد ویروس موبایل Sabotage
را بدست میگیرد
در حال حاضر ، BlackRock به صورت بسته های جعلی به روزرسانی Google ارائه شده در سایت های غیررسمی ، پنهان و توزیع شده است ، و هنوز این تروجان در فروشگاه رسمی رسمی مشاهده نشده است.
با این حال ، باند های بدافزار اندرویدی معمولاً در گذشته راه هایی برای دور زدن روند بررسی برنامه Google پیدا کرده اند و در یک مرحله یا نقطه دیگر ، ما به احتمال زیاد، شاهد استقرار آن در فروشگاه Play خواهیم بود.
