Brokewell Mobile -haittaohjelma
Kyberrikolliset käyttävät hyväkseen vilpillisiä selainpäivityksiä levittääkseen äskettäin tunnistettua Android-haittaohjelmaa nimeltä Brokewell. Tämä haittaohjelma on tehokas esimerkki nykyaikaisista pankkihaittaohjelmista, joilla on toimintoja, jotka on suunniteltu sekä tietovarkauksiin että rikottujen laitteiden etähallintaan. Tutkijat varoittavat, että Brokewellia kehitetään aktiivisesti, ja jatkuvat päivitykset tuovat käyttöön uusia komentoja, jotka laajentavat sen haitallisia ominaisuuksia, kuten mahdollistavat kosketustapahtumien, näytön tekstin ja uhrien käynnistämien sovellusten tiedot.
Sisällysluettelo
Brokewell Mobile -haittaohjelma naamioituu laillisiksi sovelluksiksi
Brokewell naamioi itsensä laillisiksi sovelluksiksi, kuten Google Chrome, ID Austria ja Klarna, käyttämällä seuraavia paketin nimiä:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Itävalta)
com.brkwl.upstracking (Klarna)
Kuten muutkin viimeaikaiset Android-haittaohjelmat, Brokewell on taitava ohittamaan Googlen rajoitukset, jotka estävät sivulta ladattuja sovelluksia pyytämästä esteettömyyspalvelun käyttöoikeuksia.
Asennuksen ja ensimmäisen käynnistyksen yhteydessä pankkitroijalainen kehottaa uhria myöntämään esteettömyyspalvelun käyttöoikeudet. Kun nämä luvat on saatu, niitä käytetään lisäoikeuksien myöntämiseen ja erilaisten haitallisten toimintojen suorittamiseen automaattisesti.
Brokewellin ominaisuuksiin kuuluu peittoikkunoiden näyttäminen kohdistettujen sovellusten päällä käyttäjien tunnistetietojen keräämiseksi. Lisäksi se voi poimia evästeitä käynnistämällä WebView'n lataamaan laillisia verkkosivustoja, sieppaamalla ja lähettämällä istuntoevästeitä huonosti ajattelevien toimijoiden hallitsemalle palvelimelle.
Brokewell Banking Troijalainen voi suorittaa lukuisia haitallisia toimia
Brokewellin lisätoimintoihin kuuluvat äänen tallentaminen, kuvakaappausten ottaminen, puhelulokien käyttö, laitteen sijainnin hakeminen, asennettujen sovellusten luettelointi, kaikkien laitetapahtumien kirjaaminen, tekstiviestien lähettäminen, puheluiden aloittaminen, sovellusten asentaminen ja asennuksen poistaminen ja jopa esteettömyyspalvelun poistaminen käytöstä.
Lisäksi uhkatekijät voivat hyödyntää haittaohjelman kaukosäätimen ominaisuuksia nähdäkseen reaaliaikaisen näytön sisällön ja ollakseen vuorovaikutuksessa laitteen kanssa simuloimalla napsautuksia, pyyhkäisyjä ja kosketuksia.
Uusi uhkatekijä voi olla vastuussa Brokewell Mobile -haittaohjelmasta
Henkilö, jonka uskotaan olevan Brokewellin kehittäjä, tunnetaan nimellä Baron Samedit. Tutkijat huomauttavat, että uhkatekijä on ollut tunnettu ainakin kahden vuoden ajan varastettujen tilien todentamiseen tarkoitettujen työkalujen myynnistä. Asiantuntijat ovat myös löytäneet toisen Sameditille kuuluvan työkalun nimeltä "Brokewell Android Loader", jota isännöi Brokewellin käyttämä Command-and-Control (C2) -palvelin ja jota useat kyberrikolliset käyttävät.
Tämä latausohjelma pystyy kiertämään Android 13:ssa ja uudemmissa versioissa käyttöönotetut Googlen rajoitukset estämään esteettömyyspalvelun väärinkäytön sivuladattujen sovellusten (APK) toimesta.
Tämä ohitus on ollut jatkuva huolenaihe vuoden 2022 puolivälistä lähtien ja kärjistyi merkittävästi vuoden 2023 lopulla, kun DaaS-operaatiot tarjosivat sen osana palveluaan haittaohjelmien ohella, jotka sisällyttävät nämä tekniikat räätälöityihin latauslaitteisiin.
Kuten Brokewell on esimerkkinä, lataajat, jotka kiertävät rajoituksia, jotka estävät pääsyn esteettömyyspalveluun epäluotettavilta kanavilta hankituille APK:ille, ovat nyt yleistyneet ja levinneet laajalti kyberuhkien ympäristössä.
Kyberrikolliset käyttävät haittaohjelmatyökaluja, joilla on haltuunottokyky
Tietoturvaasiantuntijat varoittavat, että Brokewellin Android-pankkihaittaohjelmassa näkyvät laitteen haltuunottotoiminnot ovat erittäin kysyttyjä kyberrikollisilta. Näiden ominaisuuksien ansiosta petokset voidaan suorittaa suoraan uhrin laitteelta, mikä auttaa tekijöitä välttämään petosten havaitsemis- ja arviointityökaluja.
Brokewellin odotetaan jatkuvan edelleen kehittämisen alaisena ja mahdollisesti jaettavan muille kyberrikollisille maanalaisten foorumien kautta osana haittaohjelmia palveluna (MaaS).
Suojautuaksesi Android-haittaohjelmatartunnalta älä lataa sovelluksia tai päivityksiä Google Playn ulkopuolisista lähteistä. Varmista, että Google Play Protect on aina aktivoitu laitteessasi parantaaksesi laitteen turvallisuutta.
