Gli esperti di ThreatFabric hanno scoperto un nuovo tipo di malware Android più pericoloso di Joker. BlackRock è l’evoluzione di precedenti trojan bancari, ai quali sono state aggiunte specifiche funzionalità con l’obiettivo di rubare un numero maggiore di dati sensibili, oltre a quelli della carta di credito.
Il capostipite della famiglia è stato LokiBot (2016), seguito da MysteryBot (2018), Parasite (2018) e Xerxes (2019). Il codice sorgente di quest’ultimo è stato pubblicato online, quindi qualcuno ha aggiunto nuove funzionalità e ottenuto BlackRock. Il malware eredita la principale caratteristica dai suoi predecessori, ovvero la possibilità di rubare i dati delle carte di credito alle malcapitate vittime.
BlackRock esegue il cosiddetto “overlay attack“, ovvero mostra una schermata simile a quella di app legittime per chiedere l’inserimento di email, password, numero di telefono, data di nascita, numero della carta di credito e altre informazioni. ThreatFabric ha scoperto nel codice un elenco di 337 app, molte delle quali non sono app bancarie, ma possono utilizzare i dati della carta di credito (ad esempio Uber, Netflix, eBay, Amazon, Skype, Instagram e Facebook).
La maggioranza delle app bancarie sono europee. Per l’Italia ci sono Postepay, UBI Banca, ING Italia, Banca MPS, BNL, Unicredit, YouApp, Intesa Sanpaolo e Deutsche Bank.
Il malware, invisibile all’utente (non c’è nessuna icona nel drawer di Android), chiede il permesso di usare i servizi di accessibilità, mostrando un falso pop-up “Google Update”. Se l’utente concede il permesso, BlackRock si attiva ed è pronto a ricevere comandi da un server remoto. Questo sono alcune delle sue funzionalità: lettura e invio di SMS, blocco/sblocco dello schermo, raccolta informazioni del dispositivo, keylogger.
Il trojan nasconde inoltre le notifiche, rileva la presenza di antivirus e impedisce la sua rimozione. Non è chiaro al momento come può essere eliminato, quindi è meglio prestare molta attenzione alle app installate, evitando il download da store non ufficiali.