Image: ThreatFabric

Un nouveau cheval de Troie bancaire Android surnommé BlackRock vole les informations d’identification et les informations de carte de crédit dans une liste de 337 applications, dont beaucoup sont utilisées à de nombreuses fins non financières.

Le malware a été découvert en mai par des analystes de ThreatFabric et est dérivé du code source divulgué du malware bancaire Xerxes, une souche connue du cheval de Troie Android LokiBot.

En plus d’être le seul malware Android basé sur le code source de Xerxes, BlackRock présente également une autre particularité: contrairement aux autres chevaux de Troie bancaires, il cible de nombreuses applications Android non financières, en mettant l’accent sur les plateformes sociales, de communication, de réseautage et de rencontres.

BlackRock se camoufle en tant que Google Update pour demander les privilèges du service d’accessibilité et il masquera son icône lorsqu’il sera lancé par l’une de ses victimes.

« Une fois que l’utilisateur accorde le privilège de service d’accessibilité demandé, BlackRock commence par s’octroyer des autorisations supplémentaires », a expliqué ThreatFabric.

« Ces autorisations supplémentaires sont nécessaires pour que le bot fonctionne pleinement sans avoir à interagir davantage avec la victime. »

Les opérateurs peuvent ensuite contrôler le malware à distance pour lancer des attaques par superposition et émettre une multitude de commandes, notamment la journalisation des frappes, le spam des listes de contacts des victimes avec des messages texte, la définition du malware comme gestionnaire SMS par défaut, l’envoi des notifications système au serveur C2, et empêcher les victimes de lancer ou d’utiliser un antivirus ou un logiciel de nettoyage du système.

Les créateurs de BlackRock ont ​​également veillé à ce qu’aucune fonctionnalité inutile du code de Xerxes ne soit laissée, supprimant toutes les capacités qui n’étaient pas utiles dans leurs objectifs pour voler les connexions et les informations financières des appareils Android infectés.

Le logiciel malveillant utilise également des profils de travail Android pour contrôler l’appareil compromis sans nécessiter d’autorisations d’administrateur, mais en créant plutôt son propre profil géré avec des droits d’administrateur.