Brokewell mobiele malware
Cybercriminelen maken misbruik van frauduleuze browserupdates om de nieuw geïdentificeerde Android-malware genaamd Brokewell te verspreiden. Deze malware is een krachtig voorbeeld van hedendaagse bankmalware en beschikt over functionaliteiten die zijn ontworpen voor zowel gegevensdiefstal als afstandsbediening van gehackte apparaten. Onderzoekers waarschuwen dat Brokewell actief wordt ontwikkeld, met voortdurende updates die nieuwe commando's introduceren die de kwaadaardige mogelijkheden uitbreiden, zoals het mogelijk maken van het vastleggen van aanraakgebeurtenissen, tekst op het scherm en details over de applicaties die door slachtoffers zijn gelanceerd.
Inhoudsopgave
De mobiele malware van Brokewell doet zich voor als legitieme toepassingen
Brokewell vermomt zichzelf als legitieme applicaties, zoals Google Chrome, ID Austria en Klarna, met behulp van de volgende pakketnamen:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Oostenrijk)
com.brkwl.upstracking (Klarna)
Net als andere recente Android-malware is Brokewell bedreven in het omzeilen van de beperkingen van Google die sideloaded applicaties verbieden toestemming voor toegankelijkheidsservices aan te vragen.
Bij de installatie en de eerste keer opstarten vraagt de banktrojan het slachtoffer om toestemming voor de toegankelijkheidsdienst te verlenen. Eenmaal verkregen, worden deze machtigingen gebruikt om aanvullende machtigingen te verlenen en automatisch verschillende kwaadaardige activiteiten uit te voeren.
De mogelijkheden van Brokewell omvatten het weergeven van overlay-schermen bovenop gerichte applicaties om gebruikersreferenties te verzamelen. Bovendien kan het cookies extraheren door een WebView te starten om legitieme websites te laden, sessiecookies te onderscheppen en naar een server te sturen die wordt beheerd door kwaadwillige actoren.
De Brokewell Banking Trojan kan talloze schadelijke acties uitvoeren
Extra functionaliteiten van Brokewell omvatten het opnemen van audio, het maken van schermafbeeldingen, toegang tot oproeplogboeken, het ophalen van de apparaatlocatie, het weergeven van geïnstalleerde apps, het loggen van alle apparaatgebeurtenissen, het verzenden van sms-berichten, het initiëren van telefoongesprekken, het installeren en verwijderen van apps en zelfs het uitschakelen van de toegankelijkheidsservice.
Bovendien kunnen bedreigingsactoren de mogelijkheden van de malware op afstand misbruiken om realtime scherminhoud te bekijken en met het apparaat te communiceren door klikken, vegen en aanrakingen te simuleren.
Een nieuwe bedreigingsacteur is mogelijk verantwoordelijk voor de Brokewell mobiele malware
De persoon waarvan wordt aangenomen dat hij de ontwikkelaar van Brokewell is, heet de alias Baron Samedit. Onderzoekers merken op dat de bedreigingsacteur al minstens twee jaar bekend staat om het verkopen van tools die zijn ontworpen om gestolen accounts te verifiëren. De experts hebben ook een ander hulpmiddel ontdekt dat aan Samedit wordt toegeschreven, genaamd 'Brokewell Android Loader', gehost op een Command-and-Control (C2)-server die door Brokewell wordt gebruikt en waartoe meerdere cybercriminelen toegang hebben.
Deze lader is met name in staat de beperkingen van Google te omzeilen die zijn geïmplementeerd in Android 13 en latere versies om misbruik van de toegankelijkheidsservice door sideloaded apps (APK's) te voorkomen.
Deze omzeiling is sinds medio 2022 een voortdurende zorg en is eind 2023 aanzienlijk geëscaleerd met de opkomst van dropper-as-a-service (DaaS)-operaties die dit als onderdeel van hun service aanbieden, naast malware die deze technieken in hun aangepaste laders integreert.
Zoals Brokewell illustreert, zijn laders die beperkingen omzeilen die toegang tot de Accessibility Service voor APK's afkomstig van onbetrouwbare kanalen verhinderen, nu wijdverbreid en wijd verspreid in het cyberdreigingslandschap.
Cybercriminelen maken gebruik van malwaretools met overnamemogelijkheden
Beveiligingsexperts waarschuwen dat de functionaliteiten voor het overnemen van apparaten in de Brokewell-bankingmalware voor Android zeer gewild zijn bij cybercriminelen. Dankzij deze mogelijkheden kan fraude rechtstreeks vanaf het apparaat van het slachtoffer worden uitgevoerd, waardoor daders de tools voor fraudedetectie en -beoordeling kunnen omzeilen.
Er wordt verwacht dat Brokewell verdere ontwikkeling zal ondergaan en mogelijk via ondergrondse forums onder andere cybercriminelen zal worden verspreid als onderdeel van een Malware-as-a-Service (MaaS)-aanbod.
Ter bescherming tegen Android-malware-infecties mag u geen applicaties of updates downloaden van bronnen buiten Google Play. Zorg ervoor dat Google Play Protect te allen tijde op uw apparaat is geactiveerd om de apparaatbeveiliging te verbeteren.
