Come rimuovere il malware BlackRock dagli smartphone Android
Scitto da Tomas Meskauskas il (aggiornato)
Che tipo di malware è BlackRock?
BlackRock è un software dannoso (malware bancario) che prende di mira specificamente i sistemi operativi Android sugli smartphone. BlackRock è stato avvistato per la prima volta nel secondo trimestre del 2020.
Questo malware per dispositivi mobili viene creato utilizzando il codice sorgente di un altro software dannoso chiamato Xerxes (un ceppo di un altro Trojan bancario chiamato LokiBot). Tieni presente che BlackRock prende di mira anche le app non finanziarie (ad es. incontri, social media, comunicazione). Vale a dire, i criminali informatici dietro BlackRock prendono di mira anche gli utenti che non utilizzano app di mobile banking.
BlackRock in dettaglio
Quando un utente ignaro lancia il malware mobile BlackRock, questa app nasconde la sua icona dal cassetto delle app (una schermata in un dispositivo Android che mostra le icone delle applicazioni installate).
Richiede quindi i privilegi del servizio di accessibilità, spesso visualizzando notifiche false che offrono l'utilizzo degli aggiornamenti di Google.
Dopo aver ottenuto i privilegi del servizio di accessibilità, BlackRock si concede autorizzazioni aggiuntive che gli consentono di funzionare senza bisogno di ulteriore coinvolgimento delle sue vittime.
La ricerca mostra che BlackRock può essere utilizzato per eseguire attacchi overlay, inviare messaggi SMS a numeri specificati o ai numeri nell'elenco dei contatti dei dispositivi infetti, eseguire applicazioni, raccogliere testo visualizzato sullo schermo e notifiche ricevute, impedire il blocco dello schermo, sbloccare la schermata iniziale.
BlackRock può essere utilizzato anche per inviare richieste di privilegi di amministratore e raccogliere informazioni sul dispositivo infetto.
Tieni presente che BlackRock impedisce alle vittime di rimuoverlo dai dispositivi infetti reindirizzandoli alla schermata Home quando le vittime aprono determinate applicazioni antivirus o detergenti.
BlackRock è in grado di rilevare quando le vittime aprono app come AVG, Avast, BitDefender, ESET, Kaspersky, McAfee, SD Maid, Symantec, Superb Cleaner, TotalCommander o TrendMicro.
Come accennato, BlackRock può essere utilizzato per eseguire attacchi overlay. Questo malware mobile può visualizzare diverse schermate di accesso che chiedono agli utenti di inserire le credenziali (nome utente, indirizzo e-mail, password) o sovrapposizioni di acquisizione delle carte che chiedono loro di inserire i dettagli della carta di credito.
Questo Trojan si differenzia dagli altri Trojan bancari in quanto si rivolge a utenti di social, shopping, comunicazione, stile di vita, appuntamenti, intrattenimento, musica, notizie e altre applicazioni. Esistono più di trecento applicazioni prese di mira dal malware BlackRock.
Alcuni esempi di applicazioni a cui BlackRock punta per rubare le credenziali di accesso sono eBay, Amazon, Barclays, Gmail, Neflix, PayPal Mobile Cash e Uber.
Esempi di applicazioni che questo malware mobile prende di mira per rubare i dettagli della carta di credito sono Facebook, Instagram, Skype, Snapchat, Telegram, TikTok, Tinder, Twitter, WhatsApp e YouTube.
| Nome | Malware bancario BlackRock |
| Tipo di minaccia | Malware Android, applicazione dannosa, applicazione indesiderata. |
| Nomi rilevati | Avast (Android:BlackRock-B [Bank]), BitDefenderFalx (Android.Trojan.FakeApp.FY), ESET-NOD32 (Una variante di Android/TrojanDropper.Agent.HCQ), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar .ek), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza il permesso dell'utente, vengono visualizzate applicazioni dubbie, l'utilizzo di dati e batteria è aumentato in modo significativo, i browser reindirizzano a siti Web fasulli, vengono forniti annunci pubblicitari intrusivi. |
| Metodi distributivi | Siti Web ingannevoli (pagine di download per applicazioni false), allegati e-mail infetti, pubblicità online dannose, ingegneria sociale, applicazioni ingannevoli, siti Web truffa. |
| Danni | Informazioni personali rubate (messaggi privati, accessi/password, ecc.), prestazioni del dispositivo ridotte, batteria scarica rapidamente, velocità di Internet ridotta, grandi perdite di dati, perdite monetarie, identità rubata (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione del Malware (Android) | Per eliminare le infezioni da malware, i nostri ricercatori di sicurezza consigliano di scansionare il tuo dispositivo Android con un software anti-malware legittimo. Consigliamo Avast, Bitdefender, ESET o Malwarebytes. |
BlackRock in generale
In conclusione, il malware BlackRock viene utilizzato per estrarre le credenziali di accesso per rubare account personali e dettagli della carta di credito. I dati rubati potrebbero essere utilizzati per effettuare acquisti e transazioni fraudolente, rubare identità, inviare spam e malspam (fornire malware) e per altri scopi. I dati rubati potrebbero essere venduti a terzi (altri criminali informatici).
BlackRock può ricevere comandi da un server C2, inclusi i comandi per inviare messaggi SMS. In questo modo, gli aggressori utilizzano BlackRock per inviare spam, indurre i destinatari a installare questa app sui propri dispositivi, ecc.
Se c'è motivo di sospettare che BlackRock sia installato su un dispositivo, rimuoverlo il prima possibile. Altri esempi di malware per Android sono FluBot, Oscorp, e ThiefBot.
In che modo BlackRock si è infiltrato nel mio dispositivo?
La ricerca mostra che BlackRock è distribuito utilizzando siti Web ingannevoli progettati per indurre i visitatori a scaricare e installare DynamiCare, applicazioni Clubhouse e alcune applicazioni pornografiche false.
È molto probabile che i criminali informatici utilizzino anche i nomi di altre app famose per mascherare il malware BlackRock.
I criminali informatici possono distribuire malware mobile utilizzando messaggi SMS (ad es. notifiche false sui pacchi ricevuti da corrieri legittimi), e-mail di phishing e altri canali. In alcuni casi, utilizzano Google Play per distribuire il loro software dannoso.
Come evitare l'installazione di malware
Per evitare di infettare il sistema con malware diffuso tramite e-mail di spam, si consiglia vivamente di non aprire e-mail sospette o irrilevanti, in particolare quelle con eventuali allegati o collegamenti presenti al loro interno. Usa canali di download ufficiali e verificati.
Inoltre, tutti i programmi devono essere attivati e aggiornati con strumenti/funzioni forniti da sviluppatori legittimi, poiché gli strumenti di attivazione illegale ("crack") e gli aggiornamenti di terze parti di solito diffondono software dannoso.
Per garantire l'integrità del dispositivo e la sicurezza dell'utente, è fondamentale disporre di un software antivirus/antispyware affidabile installato e mantenuto aggiornato. Inoltre, utilizza questi programmi per eseguire scansioni regolari del sistema e per rimuovere le potenziali minacce rilevate.
Non fidarti delle e-mail irrilevanti che contengono allegati o collegamenti a siti Web, soprattutto se ricevute da indirizzi sconosciuti e sospetti.
Strumenti di aggiornamento falsi infettano i sistemi installando programmi dannosi anziché aggiornamenti/correzioni per il software installato o sfruttando bug/difetti di software obsoleto installato sul computer.
L'ulteriore crittografia di eventuali file non interessati può essere impedita disinstallando il ransomware, tuttavia, i file già compromessi rimangono crittografati anche dopo la rimozione del software canaglia e possono essere recuperati solo da un backup.
Screenshot della pagina di download di un'app DynamiCare falsa utilizzata per distribuire BlackRock:
Screenshot della pagina di download di una falsa app Clubhouse utilizzata per distribuire BlackRock:
Screenshot della pagina di download di un'app pornografica utilizzata per distribuire BlackRock:
Menu:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Web Chrome?
- Come disabilitare le notifiche del browser nel browser Web Chrome?
- Come ripristinare il browser Web Chrome?
- Come eliminare la cronologia di navigazione dal browser Web Firefox?
- Come disabilitare le notifiche del browser nel browser Web Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "Modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati di varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare il sistema allo stato predefinito?
- Come disabilitare le applicazioni con privilegi di amministratore?
Elimina la cronologia di navigazione dal browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATO", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".
Disabilita le notifiche del browser nel browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.
Trova i siti Web che forniscono notifiche del browser, toccali e fai clic su "Cancella e ripristina". Ciò rimuoverà le autorizzazioni concesse a questi siti Web per fornire notifiche, tuttavia, se visiti di nuovo lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione.
Puoi scegliere se concedere o meno questi permessi (se scegli di rifiutare, il sito andrà nella sezione "Bloccato" e non chiederà più il permesso).
Ripristina il browser web Chrome:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Archiviazione".
Tocca "GESTISCI MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Elimina la cronologia di navigazione dal browser web Firefox:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".
Disabilita le notifiche del browser nel browser web Firefox:
Visita il sito Web che fornisce le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "Blocco") e seleziona "Modifica impostazioni sito".
Nel pop-up aperto, attiva l'opzione "Notifiche" e tocca "CANCELLA".
Ripristina il browser web Firefox:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Archiviazione".
Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Disinstalla applicazioni potenzialmente indesiderate e/o dannose:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso finché non vedi un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, ti viene richiesto con un messaggio di errore), dovresti provare a utilizzare la "Modalità provvisoria".
Avvia il dispositivo Android in "Modalità provvisoria":
La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che ti impediscono di farlo quando il dispositivo è in esecuzione "normalmente").
Premi il pulsante "Power" e tienilo premuto finché non vedi la schermata "Spegni". Tocca l'icona "Spegni" e tienila premuta. Dopo pochi secondi apparirà l'opzione "Modalità provvisoria" e potrai eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.
Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor quantità di energia possibile per fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria potrebbe indicare che l'applicazione è dannosa.
Controlla l'utilizzo dei dati di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.
Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre il più possibile l'utilizzo dei dati. Pertanto, un utilizzo significativo dei dati potrebbe indicare la presenza di un'applicazione dannosa.
Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovresti controllare l'utilizzo dei dati sia mobile che Wi-Fi.
Se trovi un'applicazione che utilizza dati significativi anche se non la usi mai, ti consigliamo vivamente di disinstallarla immediatamente.
Installa gli ultimi aggiornamenti software:
Mantenere aggiornato il software è una buona pratica per la sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug, che possono essere abusati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, quindi dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.
Tocca "Scarica aggiornamenti manualmente" e controlla se sono disponibili aggiornamenti. In tal caso, installarli immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": questo consentirà al sistema di avvisarti quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.
Ripristina il sistema al suo stato predefinito:
L'esecuzione di un "Ripristino delle impostazioni di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tieni inoltre presente che verranno eliminati tutti i dati all'interno del dispositivo, inclusi foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. Cioè, il dispositivo verrà ripristinato al suo stato iniziale/di fabbrica.
Puoi anche ripristinare le impostazioni di sistema di base o semplicemente le impostazioni di rete.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.
Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che vuoi eseguire:
"Ripristina impostazioni": ripristina tutte le impostazioni di sistema predefinite;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilita le applicazioni con privilegi di amministratore:
Se un'applicazione dannosa riceve privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovresti sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.
Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e quindi tocca "App di amministrazione del dispositivo".
Identifica le applicazioni che non dovrebbero avere i privilegi di amministratore, toccale e quindi tocca "DISATTIVA".
Domande Frequenti (FAQ)
Quali sono i maggiori problemi che il malware può causare?
Il malware può causare diversi problemi. I più comuni sono dati e perdita di denaro, account online dirottati, furto di identità e infezioni aggiuntive.
Qual è lo scopo del malware BlackRock?
BlackRock può eseguire attacchi in overlay, inviare SMS (a numeri specificati o ai numeri sul dispositivo infetto), recuperare il testo visualizzato sullo schermo del dispositivo infetto (incluso il testo nelle notifiche), eseguire app e raccogliere informazioni sul dispositivo. Gli attacchi overlay vengono utilizzati principalmente per rubare nomi utente, password, dettagli di carte di credito e altre informazioni sensibili.
In che modo il malware BlackRock si è infiltrato nel mio dispositivo?
Questo malware infetta i dispositivi tramite applicazioni trojan (ad es. DynamiCare e Clubhouse) scaricate da pagine Web ingannevoli. C'è un'alta probabilità che BlackRock sia distribuito tramite varie app che imitano app legittime note.
Combo Cleaner mi proteggerà dai malware?
Combo Cleaner include uno scanner antivirus che rileva quasi tutti i malware conosciuti. È comune che il malware di fascia alta sia progettato per nascondersi in profondità nel sistema. Pertanto, eseguire una scansione completa del sistema è un must per rimuovere malware di questo tipo.
Eccezionale!
▼ Mostra Discussione