1. 简介

2020年5月左右，ThreatFabric分析师发现了一种新型的银行恶意软件，称为BlackRock。经过调查，发现大量代码继承自Xerxes银行恶意软件，Xerxes本身就是LokiBotAndroid银行木马的变种。Xerxes恶意软件的源代码在2019年5月左右公开，导致任何不法组织都可以利用。

技术方面，BlackRock的目标包含大量社交、银行和交通等两百多款应用程序。到目前为止，还未在其他银行木马的目标程序中看到此类情况。因此，BlackRock背后的操作者正试图利用流行应用进行传播。

2. LokiBot恶意软件家族

由于BlackRock基于Xerxes银行木马，因此它是LokiBot衍生产品的一部分，具有多种变体，如下所示。

图1 LokiBot恶意软件家族

3. 程序详细信息：

4. 技术原理分析

4.1 程序运行行为

图2 BlackRock间谍木马危害

首次启动恶意软件时，程序隐藏图标，使用户无法察觉，第二步，它要求受害者提供“无障碍服务”特权。如以下屏幕截图所示，该木马最主要的特征就是仿冒Google更新：

一旦用户授予请求的“无障碍服务”特权，BlackRock便会为其自身授予其他权限。这些额外的权限是程序能够正常运行而无需与受害者进行进一步交互所必需的。完成后，该恶意程序便可以正常运行，并从C2服务器接收命令并执行恶意攻击。

程序主要功能：一是根据远程服务器下发的指令进行发送指定短信、给通讯录联系人发送指定短信、将程序设定为默认设备管理器、启动指定应用、记录键盘输入信息并发送到C2、将所有通知信息发送到C2、激活设备管理器等行为。二是下载指定应用的仿冒程序，并监控两百多款指定程序，当用户启动该应用时劫持对应程序界面，对于社交、约会类主要是劫持用户登录界面；而对于银行类则会劫持用户输入的银行卡、身份证、姓名、手机号、验证码等相关信息。

4.2 程序运行后释放恶意子包

图3 释放恶意子包

4.3 程序初始化准备工作

主要是设定屏幕定时唤醒，判断并开启无障碍功能，并上传固件信息准备请求远控指令，然后隐藏图标，致使用户无法察觉。

图4 木马初始化

根据系统版本设定唤醒屏幕方式时间：

图5 根据系统版本设定唤醒屏幕时间

判断并引导用户开启“无障碍服务”：

图6 引导用户打开“无障碍服务”

4.4 上传固件信息并准备接收远控指令

初始化获取的固件信息上传到C2并准备接收远控指令：

图7 上传固件信息并请求远控指令

信息拼接加密并上传：

URL： 加入交流群113129131 获取更多最新资讯

原文链接： post/id/212117#h2-2