BlackRock est un nouveau malware Android découvert par les chercheurs de ThreatFabric. Ce logiciel malveillant de dernière génération est capable d’infecter une large variété d’applications mobiles, et de voler de nombreux types de données…
Une nouvelle menace plane sur Android. Les chercheurs de ThreatFabric ont découvert un malware du nom de Blackrock, qui a déjà infecté 337 applications.
Apparu en mai 2020 sur l’OS mobile de Google, il s’agit d’un malware basé sur le code source en fuite d’un autre type de malware déjà connu : Xerxes. Cependant, BlackRock a été amélioré avec de nouvelles fonctionnalités le rendant plus redoutable encore.
Ces nouvelles fonctionnalités visent principalement à lui permettre de voler encore plus de données. Le maliciel se comporte comme la plupart des Chevaux de Troie, mais peut prendre pour cible une plus large variété de données que ses prédécesseurs. Il peut notamment infecter les applications de banques, mais aussi les réseaux sociaux et les messageries instantanées ou encore les applications de rencontre.
Par ailleurs, ce malware peut dérober encore plus de données. En plus des identifiants de connexion, il est en mesure d’inviter la victime à indiquer ses informations de carte de paiement dans les applications proposant des transactions financières.
Comme l’expliquent les chercheurs, la capture de données est effectuée par le biais d’une technique appelée » overlays » (surcouche). Dans un premier temps, une fois installée sur l’appareil, une application infectée avec BlackRock demande à l’utilisateur l’accès aux fonctionnalités d’Accessibilité.
BlackRock : une version améliorée de Xerxes optimisée pour le vol de données
Ces fonctionnalités permettent ensuite au malware de s’octroyer d’autres permissions dont l’accès au » DPC » lui conférant les privilèges d’administrateur. La technique de surcouche consiste ensuite à user de ces privilèges pour détecter lorsqu’un utilisateur essayer d’interagir avec une application, pour lui présenter une fausse fenêtre visant à collecter ses identifiants et ses données de carte bancaire.
Les privilèges administrateur permettent aussi à Blackrock d’intercepter les messages SMS, d’envoyer des spams par SMS, de lancer des applications spécifiques, de presser des touches, d’afficher des notifications push ou même de saboter les applications antivirus.
Fort heureusement, pour l’heure, BlackRock a été uniquement distribué sous forme de packages de mises à jour par le biais de boutiques tierces. Il n’a pas encore été détecté sur le Play Store officiel d’Android. Espérons que les hackers ne parviennent pas à l’y propager…
https://www.youtube.com/watch?v=n0ikVQibV-U
- Partager l'article :