Áp lực phần mềm độc hại mới trên Android cung cấp cho tội phạm mạng một số lượng lớn các chức năng có thể đánh cắp dữ liệu từ 377 ứng dụng trên Android. Mã độc có tên là “BlackRock” và được phát hiện lần đầu tiên bởi công ty bảo mật di động ThreatFoven vào ngày 5 tháng 7 năm nay.
Các nhà nghiên cứu bảo mật cho biết phần mềm độc hại này dựa trên nguồn mở của một phần mềm độc hại khác có tên Xerxes, nhưng chủng mới được cải thiện với các tính năng bổ sung, đặc biệt là đánh cắp mật khẩu người dùng và thông tin thẻ tín dụng.
BlackRock vẫn hoạt động giống như hầu hết các mã độc Android, đặc biệt tấn công các ứng dụng ngân hàng khác, tuy nhiên, chủng mới có nhiều ứng dụng được nhắm mục tiêu hơn các phiên bản trước.
Nếu ứng dụng hỗ trợ các giao dịch tài chính, chương trình ngựa thành Troia (chứa mã độc) sẽ đánh cắp thông tin đăng nhập (tên người dùng và mật khẩu) và chi tiết thẻ thanh toán.
Theo ThreatFoven, thu thập dữ liệu là một kỹ thuật gọi là “lớp phủ” (nghĩa là một cửa sổ nhỏ hiển thị ở giữa màn hình để thu hút sự chú ý của người dùng), bao gồm phát hiện khi người dùng cố gắng tương tác với các ứng dụng hợp pháp và Một cửa sổ giả được hiển thị ở phía trên màn hình, thu thập tên đăng nhập và thẻ dữ liệu chi tiết của nạn nhân trước khi cho phép người dùng đăng nhập hợp pháp vào ứng dụng.
Trong một báo cáo gần đây được công bố bởi các nhà nghiên cứu đe dọa Fuwen, hầu hết các danh mục “bảo hiểm” của BlackRock đều nhắm vào các ứng dụng truyền thông xã hội và gian lận tài chính. Tuy nhiên, BlackRock cũng thường lừa đảo và thu thập dữ liệu từ các ứng dụng hẹn hò, tin tức, mua sắm, lối sống và năng suất.
BlackRock hiện hoạt động trên Android giống như hầu hết các phần mềm độc hại và cũng sử dụng công nghệ cũ. Sau khi được cài đặt trên thiết bị, một ứng dụng độc hại bị nhiễm mã BlackRock sẽ yêu cầu người dùng cấp quyền truy cập vào các tính năng trợ năng của điện thoại.
Khả năng truy cập trên hệ điều hành Android là một trong những tính năng mạnh nhất của hệ điều hành này vì nó có thể được sử dụng để tự động hóa các tác vụ và ngay cả người dùng thực hiện bất kỳ thao tác nào trên thiết bị.
BlackRock sử dụng các tính năng trợ năng để cấp quyền truy cập vào các tính năng đặc biệt khác trên thiết bị Android của người dùng, sau đó sử dụng bộ DPC Android (bộ điều khiển chính sách thiết bị) để cấp quyền truy cập quản trị cho thiết bị. Sau đó, nó sử dụng quyền truy cập này để hiển thị lớp “lớp phủ” là độc hại. Ngoài ra, phần mềm độc hại BlackRock cũng có thể thực hiện các hoạt động xâm nhập khác, chẳng hạn như: chặn tin nhắn văn bản, gửi tin nhắn văn bản liên tục, cài đặt keylogger và phá hủy các ứng dụng chống vi-rút trên thiết bị di động.
Hiện tại, BlackRock phân phối gói cập nhật thông qua ứng dụng Google giả được cung cấp trên trang web của bên thứ ba và chưa phát hiện mã độc trong thị trường ứng dụng chính thức của Google. Tuy nhiên, trước đây, các băng đảng đứng sau phần mềm độc hại Android thường cố gắng vượt qua quá trình đánh giá ứng dụng Google, và rất có thể BlackRock sẽ sớm tấn công thị trường ứng dụng Google Play.
