Новый вид банковского вредоносного ПО обнаружили исследователи из Threat Fabric. Вирус получил название BlackRock и был впервые обнаружен в мае 2020. Когда вредоносное приложение впервые запускается на устройстве, его иконка пропадает из списка установленных приложений. Далее оно запрашивает привилегии доступа, часто маскируясь под обновление Google. После получения привилегий программа сама дает себе нужные разрешения и приходит в готовность принимать команды.
Расследование происхождения программы показало, что она построена на основе банковского вируса Xerxes. Xerxes в свою очередь произошел от банковского трояна для Android LokiBot, впервые обнаруженного несколько лет назад.
Исходный код Xerxes был опубликован его создателем в мае 2019. Из-за этого любой мог на его основе создать свое вредоносное ПО. Однако несмотря на это, единственный обнаруженный вирус на основе опубликованного кода — именно BlackRock.
BlackRock крадет авторизационные данные не только из банковских приложений, но и из приложений для общения, шоппинга и бизнеса. Всего на данный момент обнаружено 337 зараженных приложений для Android, в том числе приложения для знакомств, социальные и криптовалютные приложений.