Un nouveau malware, Blackrock, capable de soutirer les mots de passes et codes de 337 applications

16 juillet 2020 à 11h50
16
Blackrock © ThreatFabric
© ThreatFabric

Un nouveau type de malware est apparu dans l'univers Android. Baptisé BlackRock, il a été repéré en mai dernier par la société de cybersécurité ThreatFabric.

Selon l'enseigne, cette nouvelle menace est en mesure de dérober les données d'au moins 337 applications.

Un descendant de Lokibot

BlackRock est basé sur le code source d'autres logiciels à partir desquels il a évolué. Parmi ses prédécesseurs, il compte ainsi Xerxes ou Lokibot, l'un des malwares les plus courants il y a quelques années.

Blackrock © ThreatFabric
© ThreatFabric

De cette « famille », BlackRock a repris le fonctionnement et amélioré les fonctionnalités visant à voler les données sensibles détenues par les applications, comme les mots de passe de leurs utilisateurs ou les informations de leurs cartes de crédit. Il fonctionne ainsi toujours sur le même principe que les logiciels précédents, mais peut cibler davantage d'applications.

Ce principe de fonctionnement, appelé « superposition » est déjà bien connu. Il consiste à détecter lorsqu'un utilisateur essaie d'interagir avec une application. Le malware affiche alors une fausse fenêtre par-dessus, collectant les informations de connexion et les données de carte bancaire entrées par la victime.

De nouvelles « surprises » attendues cette année

Dans son communiqué, ThreatFabric précise que les superpositions observées jusqu'à présent ont visé 337 applications. Parmi elles, on trouve essentiellement des applications financières ainsi que des réseaux sociaux ou d'autres logiciels de communication. La société cite ainsi des applications comme Microsoft Outlook, Gmail ou Paypal.

Néanmoins, la société ajoute avoir également observé des cas de piratage sur des applications de rencontres, de shopping ou même dédiées au développement personnel et à la productivité. Parmi eux se trouvent des noms comme Uber, Amazon ou Netflix. La liste complète est disponible sur le site de BlackRock.

ThreatFabric conclut sur une augmentation du nombre de malwares de type « Cheval de Troie », tout en soulignant que les nouveaux logiciels se démarquent par leurs nouvelles fonctionnalités. Sur son blog, la société déclare : « Comme indiqué dans notre blog 2020, il n'y a pas seulement plus de nouveaux chevaux de Troie bancaires sur Android, mais certains d'entre eux apportent également de nouvelles fonctionnalités. La plupart commencent à intégrer des fonctionnalités permettant aux criminels de prendre le contrôle à distance du périphérique infecté et parfois même d'exécuter automatiquement une fraude depuis ce périphérique ».

Elle ajoute : « La seconde moitié 2020 sera pleine de surprises. Après Alien, Eventbot et BlackRock, nous pouvons nous attendre à ce que des acteurs motivés par l'argent mettent au point de nouveaux chevaux de Troie bancaires et continuent d'améliorer les existants ».

Sources : ThreatFabric , ZDNet

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
8
cirdan
BlackRock… Au moins, ils ne manquent pas d’humour.
Pernel
Des fans de Lost ?
PierreKaiL
«&nbsp;La société cite ainsi des applications comme Microsoft Outlook, Gmail ou Paypal.&nbsp;»<br /> Sérieusement ? Malwarebytes le détecte ? Comment se propage t’il ?
Blap
Rien d’automatique donc il faut forcement que l’utilisateur remplisse les infos de lui meme ? Du genre les gestionnaires de mots de passes ne sont pas impactés ?
GRITI
PierreKaiL:<br /> Comment se propage t’il ?<br /> Je rejoins PierreKaiL. Dommage qu’il manque cette information. Est-ce en naviguant sur certains sites? En installant des applis? Si oui, lesquelles?<br /> Question pour les pros: est-ce qu’un pare-feu permet de se protéger de ce genre d’attaque vu que dès qu’une demande d’accès internet est détecté pour la première fois le pare-feu nous envoie une demande d’autorisation pour cet accès?
PierreKaiL
A priori un pare-feu détectera une tentative de connexion mais si ça passe par une redirection via le navigateur sur un site par exemple là c’est plus gênant, il aurait été pas mal d’en savoir plus sur son fonctionnement.
Sinic
ThreatFabric en dit plus sur le sujet (merci Google Trad) : «&nbsp;Lorsque le malware est lancé pour la première fois sur l’appareil, il commence par masquer son icône dans le tiroir de l’application, le rendant invisible pour l’utilisateur final. Dans un deuxième temps, il demande à la victime les privilèges du service d’accessibilité. Comme le montre la capture d’écran suivante, les plus grandes campagnes du cheval de Troie se présentent comme de fausses mises à jour Google: Une fois que l’utilisateur accorde le privilège de service d’accessibilité demandé, BlackRock commence par s’octroyer des autorisations supplémentaires. Ces autorisations supplémentaires sont nécessaires pour que le bot fonctionne pleinement sans avoir à interagir davantage avec la victime. Une fois terminé, le bot est fonctionnel et prêt à recevoir des commandes du serveur C2 et à exécuter les attaques par superposition.&nbsp;»
PierreKaiL
Et il n’y a pas d’info sur la façon de s’en protéger ou de l’éliminer ?
GRITI
@Sinic<br /> Merci pour ces précisions.<br /> Bon à priori pas trop de danger pour moi (je n’ai pas dit aucun ): pas de réseaux sociaux, pas de consultations bancaire/AMELI/mutuelle sur le smartphone, pas de paiement via le smartphone, 3 ou 4 applis max seulement installées chaque année, pas de compte Google.
Sinic
Nope, rien vu de tel chez ThreatFabric. Et quand je gratte un peu sur le Net, j’ai l’impression que la sécurité dépend davantage des concepteurs d’applis et des app stores en amont.
PierreKaiL
Je n’ai rien trouvé non plus, merci en tout cas
Pronimo
Par principe, je n’utilise jamais d’applications bancaires sur un smartphone surtout Android qui est trouée comme pas possible.<br /> Apres sur Windows (ou tout autre OS bureau pour être «&nbsp;inclusif&nbsp;»), sauf si on va sur des sites pirates pour choper des virus, keyloggers etc… un navigateur web a jours c’est bien plus safe qu’effectuer des opérations sensibles sur Smartphone.
Blap
Tellement troué qu’à ce jour on n’a encore trouvé de virus.<br /> Un bloqueur de pub est bien plus sécurisé surtout. En soit utiliser un smartphone pour faire des operations sensibles n’est pas moins sécurisé, probablement au contraire meme.
PierreKaiL
Je sais pas, sur PC on peut installer des programmes de sécurité comme un bon pare-feu, sur smartphone il faut rooter pour vraiment contrôler ce qui s’y passe… Et le mettre en root c’est aussi rendre l’appareil plus vulnérable si on gère pas bien ensuite donc franchement je pense que sur PC c’est plus «&nbsp;safe&nbsp;» perso.
GRITI
De plus les utilisateurs installent bien moins de softs/applis sur un PC que sur leur smartphone.<br /> Et il n’ a pas que les virus qui peuvent poser un souci de sécurité:<br /> Clubic.com – 15 Oct 19<br /> Un nouveau malware repéré sur le Play Store : les 15 applis à désinstaller...<br /> Des chercheurs de SophosLabs ont découvert la présence d'un malware niché dans 15 applications Android publiées sur le Google Play Store. Plus d'1,3 million d'appareils auraient au moins installé l'une d'entre elles.<br /> Clubic.com – 2 Sep 19<br /> Kaspersky découvre un cheval de Troie dans l'appli Android CamScanner,...<br /> Très populaire, l'application CamScanner a été écartée de Google Play après la découverte d'un injecteur permettant d'insérer du code malveillant dans les smartphones.<br />
jaid76
des fans de ça plutôt : https://www.youtube.com/watch?v=0t0d3TPbLzI
Voir tous les messages sur le forum
Haut de page