Компания ThreatFabric обнаружила новый троян, получивший название BlackRock. Он нацелен атаковать смартфоны на базе Android и входит в состав приложений и игр, которые распространяются через пиратские сайты и магазины. Хакеры также маскируют его под обновления Android и другого популярного софта.
BlackRock похищает личные и платёжные данные с помощью оверлея. При вводе ценной информации троян заменяет легитимное окно приложения поддельным и отправляет на удалённый сервер введённые пользователей учётные данные или номер карты со сроком действия и защитным кодом.
Чтобы иметь возможность выводить оверлей, троян задействует относительно старую уязвимость Android, запрашивая у пользователя разрешение на доступ к Accessibility Service. Получив эти права, BlackRock сам себе выдаёт все остальные требуемые разрешения (например, чтение SMS для подтверждения платежей и переводов). На смартфонах со старыми версиями Android этот троян может получить root-доступ, используя инструмент Android DPC.
Возможности BlackRock:
- Перехват SMS-сообщений
- Использование SMS-флуда
- Спам всем контактами по SMS
- Запуск конкретных приложений
- Перехватывание нажатий кнопок на клавиатуре
- Показ push-уведомлений
- Отключение антивирусных приложений
BlackRock атакует в основном банковские приложения, мессенджеры и социальные сети. Этот вирус также может быть задействован на сервисах знакомств, в новостных приложениях, интернет-магазинах и маркетплейсах — везде, где пользователь оплачивает что-либо.
Приложения, заражённые BlackRock, не встречаются в Play Маркете, поэтому лучший способ обезопасить себя от этого трояна, — пользоваться только официальным магазином контента на Android.
