Исследователи компании ThreatFabric опубликовали отчет об изучении нового Android-трояна  BlackRock, который ориентирован на кражу данных из различных приложений, включая приложения для знакомств, мессенджеры, продукты банков, социальные сети и так далее. В общей сложности троян может атаковать 337 приложений.

BlackRock был дополнен  функциями для кражи пользовательских паролей и информации о банковских картах и похищает учетные данные пользователей, но если есть возможность, предложит пользователю ввести данные платежной карты (если целевое приложение поддерживает финансовые операции).

Сбор и хищение данных производится с помощью оверлеев. То есть троян обнаруживает, когда пользователь пытается взаимодействовать с каким-либо легитимным приложением, и выводит поверх этого окна собственную фальшивку, куда жертва в итоге и вводит свои учетные данные или данные карты.

Чтобы иметь возможность выводить такие окна поверх других приложений, троян использует старый трюк и запрашивает у пользователя доступ к ­Accessibility Service (Служба специальных возможностей). Получив эти права, он выдает себе другие необходимые разрешения самостоятельно, а затем и вовсе получает на устройстве доступ администратора, задействовав Android DPC.

Исследователи ThreatFabric пишут, что большинство оверлеев BlackRock предназначено для атак на финансовые приложения. Тем не менее, существуют оверлеи и для других видов приложений, включая знакомства, новости, шопинг и так далее. Полный список целевых приложений можно найти в отчете экспертов.

Помимо наложения фишинговых оверлеев троян может выполнять и другие вредоносные операции:

1. перехватывать SMS-сообщения;
2. использовать SMS-флуд;
3. спамить всем контактами предопределенными SMS;
4. запускать конкретные приложения;
5. перехватывать нажатия (кейлоггер);
6. показать push-уведомления;
7. саботировать работу антивирусных приложений.

В настоящее время BlackRock распространяется через мошеннические сайты, где маскируется под поддельные пакеты обновлений Google. Пока троян не был обнаружен в официальном магазине Google Play Store.