Este peligroso malware BlackRock para Android, afecta a cientos de apps

Este peligroso malware BlackRock para Android, afecta a cientos de apps

José Antonio Lorenzo

Los ciberdelincuentes no descansan y siempre están atentos para aprovechar cualquier brecha de seguridad que encuentren en nuestros dispositivos. En esta ocasión, se ha detectado una nueva amenaza, el malware BlackRock, que infecta dispositivos Android y es capaz de robar datos de 337 aplicaciones.

El malware BlackRock descubierto por la empresa de seguridad móvil ThreatFabric

Este nuevo malware surgió en mayo de este año, y ha sido detectado gracias al buen trabajo que ha realizado la empresa de seguridad móvil ThreatFabric. Estos investigadores, tras un arduo trabajo han descubierto que el código fuente del malware BlackRock, está basado en otra cepa de malware también conocida como Xerses. Lo que hicieron sus desarrolladores es mejorarlo con características adicionales. En ese sentido, se centraron en potenciar el robo de las contraseñas de las apps que usaban, y también en obtener la información de tarjetas de crédito de esos usuarios.

Gracias a ThreatFabric, tenemos un esquema donde se explica cómo ha ido evolucionando con el tiempo los diferentes tipos de código malicioso hasta dar origen al nacimiento del malware BlackRock.

blackrock-evolution.png

Haciendo un repaso, vemos que empezamos con LokiBot entre el año 2016 y 2017, que dio a su vez paso a MisteryBot y Parasite en 2018. Después de estos dos, llegó Xerses en el año 2019, y como ya hemos comentado antes, es una de las fuentes en las que se basó el malware BlackRock.

Ahora vamos a explicar cómo funciona Blackrock, y en este sentido hay que comentar que funciona como la mayoría de los troyanos bancarios de Android. Sin embargo, este tiene una peculiaridad importante que le diferencia de los demás, y es que apunta a más aplicaciones que sus predecesores. En este caso, señala que intenta robar datos de 337 apps Android, lo cual indica su gran potencialidad y el evidente riesgo que podríamos tener si nuestro smartphone se llega a infectar.

Cómo funciona y se distribuye el malware BlackRock

El funcionamiento es el típico en estos casos. El primer paso que va a dar el troyano es robar las claves de inicio de sesión de esas apps que estamos usando recolectando nuestro nombre de usuario y contraseñas. Una vez hecho esto, lo siguiente que va a hacer es pedir a la víctima que ingrese los detalles de la tarjeta de crédito si las aplicaciones admiten transacciones financieras. Así ya, con los datos en su poder, el ciberdelincuente podrá disponer de ella y sacar un rendimiento económico.

Según ThreatFabric, la recopilación de datos se realiza mediante el uso de una técnica llamada «superposiciones». De este modo, cuando detecta que un usuario quiere utilizar una app legítima, abre una ventana falsa en la parte superior. Allí, gracias a los datos que le facilita la víctima sin ser consciente del engaño, el malware BlackRock recopila los datos de inicio de sesión y los datos de la tarjeta de crédito.

En un informe compartido por ThreatFabric, sus investigadores han comentado que la gran mayoría de las superposiciones de este malware destinadas a recopilar información están orientadas a aplicaciones de comunicaciones, redes sociales y financieras de phishing.

Aquí tenéis unos gráficos en el que muestra por categorías que tipos de apps son las más afectadas por el malware BlackRock.

La forma de funcionamiento sería la siguiente. Una vez instalado el malware en el dispositivo mediante una aplicación maliciosa contaminada con el troyano BlackRock, va a pedir al usuario que le otorgue el permiso de Accesibilidad del teléfono. Gracias al uso de este permiso que le ha concedido la víctima, lo va a utilizar para automatizar tareas e incluso realizar toques en nombre del usuario.

El malware BlackRock también usa la función de accesibilidad para otorgarse acceso a otros permisos de Android. Luego, además, utiliza un DPC de Android (controlador de políticas de dispositivo) para otorgarse acceso de administrador al dispositivo o también conocido como root. Sin embargo, esto es sólo una parte de lo que puede hacer, también puede:

  • Interceptar mensajes SMS.
  • Contactos de spam con SMS predefinidos.
  • Iniciar aplicaciones específicas.
  • Mostrar notificaciones push personalizadas
  • Sabotear aplicaciones antivirus móviles y más.

Ahora mismo el malware BlackRock se distribuye disfrazado de paquetes falsos de actualización de Google, ofrecidos en sitios de terceros. Afortunadamente, este software malicioso no ha sido detectado en la Google Play Store. Por último, una recomendación importante, y que evita que se instale software malicioso en nuestro dispositivo Android, es sólo descargarse apps de la Google Play Store.