Le fonctionnement de ce logiciel malveillant rappelle celui de plusieurs autres grands malwares tristement célèbres, notamment LokiBot et Anubis. Si ces derniers visaient avant tout les applications bancaires, BlackRock innove quelque peu et s’attaque aux applications de messagerie et de réseaux sociaux, sans pour autant se désintéresser des apps bancaires. Un renouvellement des cibles qui pourrait s’expliquer par l’explosion de popularité qu’ont connue ce type d’apps durant le confinement.

Les chercheurs expliquent dans leur rapport que, à l’image de LokiBot et Anubis dont il a repris le code source, BlackRock repose sur une attaque dite de « superposition ». Une fois que le logiciel malveillant est parvenu à se déployer sur un smartphone par le biais d’une app vérolée ou autre, il se déploie et attend patiemment que sa victime ouvre WhatsApp, PayPal, Amazon, Outlook ou une autre des 337 applications ciblées pour afficher une fausse page de connexion – par superposition – et ainsi récupérer les identifiants de connexion de sa victime.

Si le fonctionnement du malware n’a rien de nouveau, il s’est perfectionné au fil des années et peut facilement passer inaperçu, faisant potentiellement un nombre important de victimes. Les chercheurs de ThreatFabric soulignent d’ailleurs que BlackRock ne vise pas seulement les apps de messagerie et réseaux sociaux, mais tente également de récupérer les données bancaires de ses victimes.