قد لا تندهش من أن البرمجيات الخبيثة تتطور وتتطور باستمرار ، مثل معظم الأشياء في العالم الافتراضي. لا يتوقف المتسللون عن تحسين شفرتهم الضارة ، وفي بعض الأحيان ، ينسخون الميزات والوحدات من سلالة واحدة أو أكثر ، ويضيفون بعض وظائفهم الخاصة ، ويخلقون تهديدات جديدة تمامًا. في الأسبوع الماضي ، استعرض باحثون من Threat Fabric استعراض BlackRock ، الوافد الجديد إلى ساحة التهديد في Android ، وأظهر لنا كيف يعمل كل شيء في بعض الأحيان.
BlackRock - الأصول
يمكن لـ BlackRock تتبع جذوره مرة أخرى إلى LokiBot ، وهو حصان طروادة المصرفي الشهير لنظام Android الذي ظهر في أواخر عام 2016. في البداية ، أدار مؤلف LokiBot عملية برامج خبيثة كخدمة واستأجر حصان طروادة إلى قراصنة آخرين على استعداد لدفع ثمنها. ومع ذلك ، في مرحلة ما ، تم حظر منشئ البرامج الضارة من بعض المنتديات الشعبية السرية ، وتعرضت أعمالهم لضربة هائلة نتيجة لذلك. ربما بسبب هذا ، بعد ذلك بوقت قصير ، تم تسريب كود مصدر LokiBot.
لم يكن ممثلو التهديد بحاجة إلى دعوة ثانية. في أوائل عام 2018 ، أصدروا MysteryBot - نسخة محسنة من LokiBot عملت بشكل أفضل على أجهزة Android الأحدث ولديها إمكانات أكثر تقدمًا لسرقة المعلومات. على الرغم من الترقيات ، لم يعجب مجتمع القرصنة ، وبعد بضعة أشهر ، قررت مجموعة من المتسللين القيام بمحاولة أخرى. أخذوا MysteryBot ، وأضافوا بعض الميزات الجديدة ، وأطلقوا الطفيل.
لسوء الحظ بالنسبة لهم ، لم يتم اكتشاف الطفيل ، وتلاشى بسرعة إلى الغموض. على الرغم من أن القراصنة لم يستسلموا بالكامل. في مايو 2019 ، أصدروا Xerxes ، ترقية أخرى لنفس طروادة Android. في تقاليد LokiBot الحقيقية ، أراد مؤلفو Xerxes بيع الوصول إلى البرامج الضارة في المنتديات السرية ، لكن زملائهم المجرمين الإلكترونيين لم يظهروا أي اهتمام في حصان طروادة ، وتم إصداره لاحقًا مجانًا.
لكن كروكس قرر منحه فرصة أخرى. قبل بضعة أشهر ، أخذوا Xerxes ، وأضافوا بعض الميزات الجديدة ، وأعادوا تصنيفها على أنها BlackRock.
مزيج مثالي من التقنيات المجربة والمختبرة والميزات الجديدة والمتقدمة
وفقًا لتقرير Threat Fabric ، يعتبر BlackRock في الغالب كتطبيق تحديثات Google ، وفي الوقت الحالي على الأقل ، يتم تنزيله حصريًا من مواقع الويب ومتاجر التطبيقات التابعة لجهات خارجية. أثناء عملية التثبيت ، يطلب الوصول إلى خدمات إمكانية الوصول في Android. من خلالهم ، يمنح نفسه امتيازات إضافية وينفذ عملية سرقة المعلومات من خلال رسم التراكبات على التطبيقات الأخرى. يجب أن يقال أن هذا ليس ثوريا بالضبط. تعمل الكثير من عائلات البرامج الضارة الأخرى على Android بالطريقة نفسها تمامًا. ومع ذلك ، يعد استخدام الملفات الشخصية للعمل على Android أمرًا جديدًا.
يمكن للشركات استخدام الملفات الشخصية للعمل على Android للتحكم في وصول الموظفين أثناء تنقلهم. لقد أدرك مؤلفو BlackRock أنه من خلال هذه الميزة ، يمكنهم إنشاء ملف تعريف جديد بامتيازات إدارية والتحكم الكامل في الجهاز.
وهذا يضعهم في وضع يسمح لهم بإرشاد البرامج الضارة لتنفيذ جميع أنواع الأوامر التي يرسلها خادم Command & Control (C&C). وتشمل هذه تسجيلات المفاتيح ، وإرسال الرسائل النصية وسرقتها ، وتشغيل التطبيقات ، واسترداد وإخفاء الإشعارات ، وحظر تطبيقات مكافحة الفيروسات ، إلخ.
يستهدف مؤلفو BlackRock أكثر من 300 تطبيق
بالطبع ، الغرض الرئيسي من BlackRock هو سرقة معلومات المستخدم. بشكل أكثر تحديدًا ، إنه بعد أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان ، وآليته لسرقة البيانات بسيطة جدًا. يلاحظ عندما يكون المستخدمون على وشك التفاعل مع أحد التطبيقات المستهدفة ، ويستخدم الأذونات التي جمعها لرسم نموذج تسجيل دخول مزيف أو صفحة دفع فوق التطبيق الشرعي. يتم إرسال أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان التي تم إدخالها في النماذج المزيفة إلى C&C. يتم تنزيل التراكبات وتخزينها على الجهاز ، وهي تنتحل هوية التطبيقات المستهدفة بشكل جيد إلى حد ما ، وهذا ليس مفاجئًا حقًا نظرًا لحقيقة أن BlackRock يعتمد على LokiBot.
ما هو ملحوظ ، مع ذلك ، هو قائمة هائلة من التطبيقات التي تستهدف المحتالين. وفقًا لـ Threat Fabric ، تحتوي القائمة المستهدفة على ما لا يقل عن 337 تطبيقًا. يرتبط معظمها بالبنوك الأوروبية ، لكن الباحثين لاحظوا أن المتسللين هم أيضًا من مستخدمي بعض الشبكات الاجتماعية وتطبيقات نمط الحياة. مع هذه التطبيقات ، يقوم المتسللون بعد بيانات بطاقة الائتمان بدلاً من بيانات اعتماد تسجيل الدخول ، ويعتقد الخبراء أن وجودهم في القائمة المستهدفة قد يكون له علاقة بزيادة استخدام الأشخاص لهذه التطبيقات أثناء جائحة COVID-19.
مع BlackRock ، يقوم المتسللون بالفعل بإلقاء الشبكة على نطاق واسع ، ويعتقدون على ما يبدو أن هذا سيجعل حصان طروادة الجديد أكثر نجاحًا من سابقاته. نأمل أن هذا لن يحدث ، وسوف يموت BlackRock بسرعة مثل Xerxes و Parasite و MysteryBot و LokiBot.