Brokewell Mobile'i pahavara
Küberkurjategijad kasutavad petturlikke brauseri värskendusi, et levitada äsja tuvastatud Androidi pahavara nimega Brokewell. See pahavara on võimas näide kaasaegsest panganduse pahavarast, millel on nii andmete varguse kui ka rikutud seadmete kaugjuhtimise funktsioonid. Teadlased hoiatavad, et Brokewellil on käimas aktiivne arendus ning käimasolevad uuendused, mis tutvustavad uusi käske, mis laiendavad selle pahatahtlikke võimalusi, näiteks võimaldavad jäädvustada puutesündmusi, ekraaniteksti ja üksikasju ohvrite käivitatud rakenduste kohta.
Sisukord
Brokewelli mobiili pahavara maskeeritakse seaduslike rakendustena
Brokewell maskeerib end seaduslikeks rakendusteks, nagu Google Chrome, ID Austria ja Klarna, kasutades järgmisi paketinimesid:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.upstracking (Klarna)
Sarnaselt muule hiljutisele Androidi pahavaraga suudab Brokewell hästi mööda hiilida Google'i piirangutest, mis keelavad külglaaditud rakendustel taotleda juurdepääsetavuse teenuse lubasid.
Installimisel ja esmakordsel käivitamisel palub pangatrooja ohvril anda juurdepääsetavuse teenuse load. Pärast hankimist kasutatakse neid õigusi täiendavate õiguste andmiseks ja erinevate pahatahtlike tegevuste automaatseks läbiviimiseks.
Brokewelli võimaluste hulka kuulub sihitud rakenduste peal ülekatteekraanide kuvamine kasutaja mandaatide kogumiseks. Lisaks saab see küpsiseid ekstraktida, käivitades WebView, et laadida seaduslikke veebisaite, pealtkuulades ja saata seansiküpsiseid serverisse, mida juhivad pahatahtlikud osalejad.
Brokewelli panganduse troojalane võib sooritada mitmeid kahjulikke toiminguid
Brokewelli lisafunktsioonid hõlmavad heli salvestamist, ekraanipiltide jäädvustamist, kõnelogidele juurdepääsu, seadme asukoha otsimist, installitud rakenduste loendit, kõigi seadme sündmuste logimist, SMS-ide saatmist, telefonikõnede algatamist, rakenduste installimist ja desinstallimist ning isegi juurdepääsetavuse teenuse keelamist.
Lisaks saavad ohus osalejad kasutada pahavara kaugjuhtimisvõimalusi, et vaadata reaalajas ekraanisisu ja suhelda seadmega, simuleerides klikke, pühkimisi ja puudutusi.
Brokewell Mobile’i pahavara eest võib vastutada uus ohunäitleja
Isik, keda peetakse Brokewelli arendajaks, kannab varjunime Baron Samedit. Teadlased märgivad, et ähvardaja on olnud vähemalt kaks aastat tuntud varastatud kontode kontrollimiseks mõeldud tööriistade müümise poolest. Eksperdid on avastanud ka teise Sameditile omistatud tööriista nimega "Brokewell Android Loader", mis asub Brokewelli kasutatavas Command-and-Control (C2) serveris ja millele pääsevad juurde mitmed küberkurjategijad.
Eelkõige on see laadija võimeline kõrvale hoidma Google'i piirangutest, mis on rakendatud operatsioonisüsteemis Android 13 ja uuemates versioonides, et vältida juurdepääsetavuse teenuse väärkasutamist külglaaditud rakenduste (APK) poolt.
See möödaviik on olnud pidev probleem alates 2022. aasta keskpaigast ja suurenes märkimisväärselt 2023. aasta lõpus, kui tekkisid tilgutaja-as-a-service (DaaS) toimingud, mis pakuvad seda oma teenuse osana koos pahavaraga, mis lisab need tehnikad oma kohandatud laaduritesse.
Nagu näitas Brokewell, on laadijad, mis väldivad piiranguid, mis takistavad juurdepääsu juurdepääsuteenusele ebausaldusväärsetest kanalitest pärinevatele APK-dele, muutunud küberohtude maastikul levinud ja laialt levinud.
Küberkurjategijad kasutavad ülevõtmisvõimalustega pahavara tööriistu
Turvaeksperdid hoiatavad, et Androidi Brokewelli panganduse pahavaras nähtud seadme ülevõtmise funktsioonid on küberkurjategijate poolt väga nõutud. Need võimalused võimaldavad pettust läbi viia otse ohvri seadmest, aidates kurjategijatel pettuse tuvastamise ja hindamise tööriistu vältida.
Eeldatakse, et Brokewelli arendatakse edasi ja seda levitatakse maa-aluste foorumite kaudu teistele küberkurjategijatele osana pahavara-teenusena (MaaS) pakkumisest.
Androidi pahavaraga nakatumise eest kaitsmiseks hoiduge rakenduste või värskenduste allalaadimisest väljaspool Google Play allikatest. Seadme turvalisuse suurendamiseks veenduge, et Google Play Protect oleks teie seadmes kogu aeg aktiveeritud.
