BlackRock es derivado del código fuente del malware bancario
Xerxes, una variante del troyano LokiBot Android.
Una de las peculiaridades de BlackRock, es que apunta a
aplicaciones no financieras de Android, como redes sociales, mensajería instantánea
y plataformas de citas. BlackRock utiliza la solicitud de privilegios del Servicio
de Accesibilidad, camuflándose para solicitarlo y ocultando su icono cuando se
inicia. A la hora de actuar, necesita permisos adicionales para que el bot
funcione completamente y así la víctima, no tiene que interactuar con la misma.
El atacante que ha infectado el dispositivo puede realizar
diferentes funciones de forma remota, como son ataques de superposición, lanzar
comandos para el registro de pulsaciones de teclas, enviar spam a la lista de
los contactos de las víctimas, configurar el malware como el administrador de
SMS predeterminado y el bloqueo a las víctimas para que no puedan iniciarse o
usen antivirus o software de limpieza del sistema.
A la hora de crear BlackRock, los creadores tuvieron en
cuenta de que no quedasen características innecesarias del código de Xerxes,
eliminando las capacidades que no fueron útiles en sus objetivos para robar
inicios de sesión e información financiera.
BlackRock tiene una gran lista de aplicaciones para realizar
el robo de credenciales, unas 226 tales como Microsoft Outlook, Gmail, Uber,
Amazon, Netflix todas ellas de servicios de Google Play y muchas otras de
aplicaciones bancarias o de billetera de criptomonedas, Santander, Barcleys,
ING, RBS, Bitplay, Binance y Coinbase.
Otra lista, es la de aplicaciones que contienen tarjetas de
crédito para su robo, unas 111 en total, entre otras son Telegram, WhatsApp,
Twitter, Skype, Instagram, Facebook y Play Store.