Brokewell Mobile Malware
Nettkriminelle utnytter uredelige nettleseroppdateringer for å distribuere en nylig identifisert Android-skadevare ved navn Brokewell. Denne skadelige programvaren representerer et potent eksempel på moderne bankprogramvare, og har funksjonaliteter designet for både datatyveri og fjernkontroll av enheter som brytes. Forskere advarer om at Brokewell er under aktiv utvikling, med pågående oppdateringer som introduserer nye kommandoer som utvider dens ondsinnede funksjoner, for eksempel muliggjøring av berøringshendelser, tekst på skjermen og detaljer om applikasjonene lansert av ofrene.
Innholdsfortegnelse
Brokewell Mobile Malware maskerer seg som legitime applikasjoner
Brokewell forkledd seg som legitime applikasjoner, som Google Chrome, ID Austria og Klarna, som bruker følgende pakkenavn:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Østerrike)
com.brkwl.uptracking (Klarna)
I likhet med andre nyere Android-skadevare, er Brokewell dyktig til å omgå Googles restriksjoner som forbyr sidelastede applikasjoner fra å be om tillatelser for tilgjengelighetstjenester.
Ved installasjon og første lansering ber banktrojaneren offeret om å gi tilgangstjenester tillatelser. Når de er oppnådd, brukes disse tillatelsene til å gi ytterligere tillatelser og utføre ulike ondsinnede aktiviteter automatisk.
Brokewells evner inkluderer å vise overleggsskjermer på toppen av målrettede applikasjoner for å hente brukerlegitimasjon. I tillegg kan den trekke ut informasjonskapsler ved å starte en WebView for å laste legitime nettsteder, avskjære og sende øktinformasjonskapsler til en server kontrollert av dårlige aktører.
Brokewell Banking Trojan kan utføre en rekke skadelige handlinger
Ytterligere funksjoner til Brokewell omfatter opptak av lyd, ta skjermbilder, få tilgang til anropslogger, hente enhetsplassering, liste installerte apper, logge alle enhetshendelser, sende SMS-meldinger, starte telefonsamtaler, installere og avinstallere apper og til og med deaktivere tilgjengelighetstjenesten.
Dessuten kan trusselaktører utnytte malwares fjernkontrollfunksjoner for å se sanntidsskjerminnhold og samhandle med enheten ved å simulere klikk, sveip og berøringer.
En ny trusselskuespiller kan være ansvarlig for Brokewell Mobile Malware
Personen som antas å være utvikleren av Brokewell går under aliaset Baron Samedit. Forskere bemerker at trusselaktøren har vært kjent i minst to år for å selge verktøy designet for å bekrefte stjålne kontoer. Ekspertene har også avdekket et annet verktøy som tilskrives Samedit kalt 'Brokewell Android Loader', som ligger på en Command-and-Control-server (C2) som brukes av Brokewell og som er tilgjengelig for flere nettkriminelle.
Spesielt er denne lasteren i stand til å omgå Googles restriksjoner implementert i Android 13 og nyere versjoner for å forhindre misbruk av tilgjengelighetstjenesten av sidelastede apper (APK-er).
Denne bypass-en har vært en pågående bekymring siden midten av 2022 og eskalerte betydelig i slutten av 2023 med fremveksten av dropper-as-a-service (DaaS)-operasjoner som tilbyr det som en del av tjenesten deres, sammen med skadelig programvare som inkorporerer disse teknikkene i deres tilpassede lastere.
Som eksemplifisert av Brokewell, har lastere som unngår restriksjoner som hindrer tilgang til tilgjengelighetstjenester for APK-er hentet fra upålitelige kanaler nå blitt utbredt og bredt distribuert i cybertrussellandskapet.
Nettkriminelle bruker verktøy for skadelig programvare med overtakelsesmuligheter
Sikkerhetseksperter advarer om at funksjonene for overtakelse av enheter som sees i Brokewell bankprogramvare for Android er svært ettertraktet av nettkriminelle. Disse egenskapene gjør det mulig å utføre svindel direkte fra offerets enhet, og hjelper gjerningsmenn med å unngå svindeloppdagelse og vurderingsverktøy.
Det er forventet at Brokewell vil gjennomgå videre utvikling og potensielt bli distribuert til andre nettkriminelle gjennom underjordiske fora som en del av et malware-as-a-service (MaaS)-tilbud.
For å beskytte mot infeksjoner med skadelig programvare fra Android, avstå fra å laste ned apper eller oppdateringer fra kilder utenfor Google Play. Sørg for at Google Play Protect er aktivert på enheten din til enhver tid for å forbedre enhetens sikkerhet.
