Brokewell Mobile Malware
Cyberkriminelle udnytter svigagtige browseropdateringer til at distribuere en nyligt identificeret Android-malware ved navn Brokewell. Denne malware repræsenterer et potent eksempel på moderne bank-malware, der besidder funktionaliteter designet til både datatyveri og fjernstyring af brudte enheder. Forskere advarer om, at Brokewell er under aktiv udvikling, med løbende opdateringer, der introducerer nye kommandoer, der udvider dets ondsindede muligheder, såsom at aktivere optagelse af berøringshændelser, tekst på skærmen og detaljer om de applikationer, som ofrene har lanceret.
Indholdsfortegnelse
Brokewell Mobile Malware maskerer sig som legitime applikationer
Brokewell forklæder sig som legitime applikationer, såsom Google Chrome, ID Austria og Klarna, der bruger følgende pakkenavne:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Østrig)
com.brkwl.upstracking (Klarna)
I lighed med andre nyere Android-malware er Brokewell dygtig til at omgå Googles begrænsninger, der forbyder sideindlæste applikationer at anmode om adgangstilladelser.
Ved installation og første lancering beder banktrojaneren offeret om at give adgangstilladelser. Når de er opnået, bruges disse tilladelser til at give yderligere tilladelser og udføre forskellige ondsindede aktiviteter automatisk.
Brokewells muligheder inkluderer visning af overlejringsskærme oven på målrettede applikationer for at høste brugeroplysninger. Derudover kan den udtrække cookies ved at starte en WebView for at indlæse legitime websteder, opsnappe og sende sessionscookies til en server, der kontrolleres af dårligt sindede aktører.
Brokewell Banking Trojan kan udføre adskillige skadelige handlinger
Yderligere funktioner i Brokewell omfatter optagelse af lyd, optagelse af skærmbilleder, adgang til opkaldslogger, hentning af enhedsplacering, liste over installerede apps, logning af alle enhedsbegivenheder, afsendelse af SMS-beskeder, igangsættelse af telefonopkald, installation og afinstallation af apps og endda deaktivering af tilgængelighedstjenesten.
Desuden kan trusselsaktører udnytte malwarens fjernbetjeningsfunktioner til at se skærmindhold i realtid og interagere med enheden ved at simulere klik, swipes og berøringer.
En ny trusselskuespiller kan være ansvarlig for Brokewell Mobile Malware
Personen, der menes at være udvikleren af Brokewell, går under aliaset Baron Samedit. Forskere bemærker, at trusselsaktøren har været kendt i mindst to år for at sælge værktøjer designet til at verificere stjålne konti. Eksperterne har også afsløret et andet værktøj, der tilskrives Samedit, kaldet 'Brokewell Android Loader', hostet på en Command-and-Control-server (C2) brugt af Brokewell og tilgås af flere cyberkriminelle.
Navnlig er denne loader i stand til at omgå Googles begrænsninger implementeret i Android 13 og nyere versioner for at forhindre misbrug af Accessibility Service af sideloadede apps (APK'er).
Denne bypass har været en vedvarende bekymring siden midten af 2022 og eskalerede betydeligt i slutningen af 2023 med fremkomsten af dropper-as-a-service (DaaS) operationer, der tilbyder det som en del af deres service, sammen med malware, der inkorporerer disse teknikker i deres tilpassede loadere.
Som eksemplificeret af Brokewell er indlæsere, der unddrager sig restriktioner, der forhindrer Accessibility Service-adgang for APK'er, der er hentet fra upålidelige kanaler, nu blevet udbredt og bredt udbredt i cybertrussellandskabet.
Cyberkriminelle bruger malware-værktøjer med overtagelsesmuligheder
Sikkerhedseksperter advarer om, at funktionerne til overtagelse af enheder, der ses i Brokewell bank malware til Android, er meget eftertragtede af cyberkriminelle. Disse egenskaber gør det muligt at udføre svindel direkte fra ofrets enhed, hvilket hjælper gerningsmændene med at undgå svindelopdagelse og -vurderingsværktøjer.
Det forventes, at Brokewell vil gennemgå yderligere udvikling og potentielt blive distribueret til andre cyberkriminelle gennem underjordiske fora som en del af et malware-as-a-service (MaaS)-tilbud.
For at beskytte mod Android-malwareinfektioner skal du undlade at downloade applikationer eller opdateringer fra kilder uden for Google Play. Sørg for, at Google Play Protect til enhver tid er aktiveret på din enhed for at forbedre enhedens sikkerhed.
