Brokewell Mobile Malware
Cyberkriminalci iskorištavaju lažna ažuriranja preglednika za distribuciju nedavno identificiranog zlonamjernog softvera za Android pod nazivom Brokewell. Ovaj zlonamjerni softver predstavlja moćan primjer suvremenog bankarskog zlonamjernog softvera, koji posjeduje funkcionalnosti dizajnirane za krađu podataka i daljinsko upravljanje oštećenim uređajima. Istraživači upozoravaju da Brokewell prolazi kroz aktivan razvoj, s tekućim ažuriranjima koja uvode nove naredbe koje proširuju njegove zlonamjerne mogućnosti, kao što je omogućavanje snimanja događaja dodira, teksta na zaslonu i pojedinosti o aplikacijama koje su pokrenule žrtve.
Sadržaj
Zlonamjerni softver Brokewell Mobile predstavlja se kao legitimne aplikacije
Brokewell se maskira u legitimne aplikacije, kao što su Google Chrome, ID Austria i Klarna, koristeći sljedeće nazive paketa:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austrija)
com.brkwl.upstracking (Klarna)
Slično drugom nedavnom zlonamjernom softveru za Android, Brokewell je vješt u zaobilaženju Googleovih ograničenja koja zabranjuju bočno učitanim aplikacijama da traže dopuštenja usluge pristupačnosti.
Nakon instalacije i prvog pokretanja, bankarski trojanac traži od žrtve da odobri dopuštenja usluge pristupačnosti. Nakon što se dobiju, te se dozvole koriste za dodjelu dodatnih dozvola i automatsko izvršavanje raznih zlonamjernih aktivnosti.
Brokewellove mogućnosti uključuju prikazivanje preklapajućih zaslona na vrhu ciljanih aplikacija za prikupljanje korisničkih vjerodajnica. Dodatno, može izdvojiti kolačiće pokretanjem WebViewa za učitavanje legitimnih web stranica, presretanje i slanje kolačića sesije na poslužitelj koji kontroliraju zlonamjerni akteri.
Trojanac Brokewell Banking može izvesti brojne štetne radnje
Dodatne funkcije Brokewella obuhvaćaju snimanje zvuka, snimanje zaslona, pristup zapisnicima poziva, dohvaćanje lokacije uređaja, popis instaliranih aplikacija, bilježenje svih događaja uređaja, slanje SMS poruka, pokretanje telefonskih poziva, instaliranje i deinstaliranje aplikacija, pa čak i onemogućavanje usluge pristupačnosti.
Štoviše, akteri prijetnji mogu iskoristiti mogućnosti daljinskog upravljanja zlonamjernog softvera za pregled sadržaja zaslona u stvarnom vremenu i interakciju s uređajem simuliranjem klikova, prevlačenja i dodira.
Novi akter prijetnje mogao bi biti odgovoran za zlonamjerni softver Brokewell Mobile
Osoba za koju se vjeruje da je programer Brokewella naziva se Baron Samedit. Istraživači primjećuju da je akter prijetnje poznat najmanje dvije godine po prodaji alata dizajniranih za provjeru ukradenih računa. Stručnjaci su također otkrili još jedan alat koji se pripisuje Sameditu pod nazivom 'Brokewell Android Loader', koji se nalazi na Command-and-Control (C2) poslužitelju koji koristi Brokewell i kojem pristupa više kibernetičkih kriminalaca.
Naime, ovaj program za učitavanje može zaobići Googleova ograničenja implementirana u Androidu 13 i novijim verzijama kako bi se spriječila zlouporaba usluge pristupačnosti od strane bočno učitanih aplikacija (APK-ova).
Ovo zaobilaženje predstavlja stalnu zabrinutost od sredine 2022. i značajno je eskaliralo krajem 2023. s pojavom operacija dropper-as-a-service (DaaS) koje ga nude kao dio svoje usluge, uz zlonamjerni softver koji uključuje te tehnike u svoje prilagođene učitavače.
Kao što je pokazao Brokewell, učitavači koji izbjegavaju ograničenja koja sprječavaju pristup usluzi pristupačnosti za APK-ove koji potječu iz nepouzdanih kanala sada su postali prevladavajući i široko rasprostranjeni u krajoliku cyber prijetnji.
Cyberkriminalci koriste zlonamjerne alate s mogućnostima preuzimanja
Stručnjaci za sigurnost upozoravaju da su funkcije preuzimanja uređaja koje se mogu vidjeti u zlonamjernom softveru za bankarstvo Brokewell za Android vrlo tražene od strane kibernetičkih kriminalaca. Ove mogućnosti omogućuju izvođenje prijevare izravno sa žrtvinog uređaja, pomažući počiniteljima da izbjegnu alate za otkrivanje i procjenu prijevara.
Predviđa se da će Brokewell proći daljnji razvoj i potencijalno biti distribuiran drugim kibernetičkim kriminalcima putem podzemnih foruma kao dio ponude zlonamjernog softvera kao usluge (MaaS).
Kako biste se zaštitili od infekcija zlonamjernim softverom za Android, suzdržite se od preuzimanja aplikacija ili ažuriranja iz izvora izvan Google Playa. Osigurajte da je Google Play Protect stalno aktiviran na vašem uređaju kako biste poboljšali sigurnost uređaja.
