Мобилен зловреден софтуер Brokewell
Киберпрестъпниците използват измамни актуализации на браузъра, за да разпространяват новоидентифициран злонамерен софтуер за Android на име Brokewell. Този зловреден софтуер представлява мощен пример за съвременен банков зловреден софтуер, притежаващ функции, предназначени както за кражба на данни, така и за дистанционно управление на пробити устройства. Изследователите предупреждават, че Brokewell е в процес на активно развитие, с текущи актуализации, които въвеждат нови команди, разширяващи неговите злонамерени възможности, като например позволяване на улавяне на събития при докосване, текст на екрана и подробности за приложенията, стартирани от жертвите.
Съдържание
Мобилният зловреден софтуер на Brokewell се маскира като легитимни приложения
Brokewell се прикрива като законни приложения, като Google Chrome, ID Austria и Klarna, използвайки следните имена на пакети:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Австрия)
com.brkwl.upstracking (Klarna)
Подобно на друг скорошен злонамерен софтуер за Android, Brokewell е умело да заобикаля ограниченията на Google, които забраняват на странично заредените приложения да изискват разрешения за услуги за достъпност.
При инсталиране и първо стартиране, банковият троянски кон подканва жертвата да даде разрешения на услугата за достъпност. Веднъж получени, тези разрешения се използват за предоставяне на допълнителни разрешения и автоматично изпълнение на различни злонамерени дейности.
Възможностите на Brokewell включват показване на екрани с наслагване върху целеви приложения за събиране на потребителски идентификационни данни. Освен това, той може да извлича бисквитки чрез стартиране на WebView за зареждане на легитимни уебсайтове, прихващане и изпращане на сесийни бисквитки до сървър, контролиран от злонамерени участници.
Банковият троян Brokewell може да извършва множество вредни действия
Допълнителните функционалности на Brokewell включват запис на аудио, заснемане на екранни снимки, достъп до регистър на обажданията, извличане на местоположението на устройството, списък с инсталирани приложения, регистриране на всички събития на устройството, изпращане на SMS съобщения, иницииране на телефонни обаждания, инсталиране и деинсталиране на приложения и дори деактивиране на услугата за достъпност.
Освен това участниците в заплахата могат да използват възможностите за дистанционно управление на зловреден софтуер, за да преглеждат съдържанието на екрана в реално време и да взаимодействат с устройството чрез симулиране на кликвания, плъзгания и докосвания.
Нов участник в заплахата може да е отговорен за зловреден софтуер Brokewell Mobile
Лицето, за което се смята, че е разработчик на Brokewell, се нарича Baron Samedit. Изследователите отбелязват, че заплахата е известна от най-малко две години с продажбата на инструменти, предназначени за проверка на откраднати акаунти. Експертите също така са открили друг инструмент, приписван на Samedit, наречен „Brokewell Android Loader“, хостван на Command-and-Control (C2) сървър, използван от Brokewell и достъпен от множество киберпрестъпници.
Трябва да се отбележи, че това зареждане е в състояние да заобиколи ограниченията на Google, въведени в Android 13 и по-нови версии, за да предотврати злоупотребата с услугата за достъпност от странично заредени приложения (APK).
Този байпас е постоянен проблем от средата на 2022 г. и ескалира значително в края на 2023 г. с появата на операции с капкомер като услуга (DaaS), които го предлагат като част от тяхната услуга, заедно със зловреден софтуер, включващ тези техники в техните персонализирани зареждащи устройства.
Както е илюстрирано от Brokewell, програмите за зареждане, които избягват ограниченията, предотвратяващи достъпа до услугата за достъпност за APK, произхождащи от ненадеждни канали, вече са преобладаващи и широко разпространени в пейзажа на киберзаплахите.
Киберпрестъпниците използват инструменти за зловреден софтуер с възможности за поглъщане
Експертите по сигурността предупреждават, че функционалностите за поглъщане на устройства, наблюдавани в банковия злонамерен софтуер Brokewell за Android, са много търсени от киберпрестъпниците. Тези възможности позволяват измами да се извършват директно от устройството на жертвата, като помагат на извършителите да избегнат инструментите за откриване и оценка на измами.
Очаква се Brokewell да претърпи по-нататъшно развитие и потенциално да бъде разпространен на други киберпрестъпници чрез подземни форуми като част от предложение за злонамерен софтуер като услуга (MaaS).
За да се предпазите от инфекции със зловреден софтуер на Android, въздържайте се от изтегляне на приложения или актуализации от източници извън Google Play. Уверете се, че Google Play Protect е активирана на вашето устройство през цялото време, за да подобрите сигурността на устройството.
