Мобильное вредоносное ПО Brokewell
Киберпреступники используют мошеннические обновления браузера для распространения недавно обнаруженного вредоносного ПО для Android под названием Brokewell. Это вредоносное ПО представляет собой мощный пример современного банковского вредоносного ПО, обладающего функциями, предназначенными как для кражи данных, так и для удаленного управления взломанными устройствами. Исследователи предупреждают, что Brokewell находится в стадии активной разработки: постоянные обновления включают новые команды, расширяющие его вредоносные возможности, такие как возможность захвата событий касания, текста на экране и подробностей о приложениях, запущенных жертвами.
Оглавление
Мобильная вредоносная программа Brokewell маскируется под законные приложения
Brokewell маскируется под законные приложения, такие как Google Chrome, ID Austria и Klarna, используя следующие имена пакетов:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Австрия)
com.brkwl.upstracking (Кларна)
Подобно другим недавним вредоносным программам для Android, Brokewell умеет обходить ограничения Google, которые запрещают загруженным неопубликованным приложениям запрашивать разрешения службы специальных возможностей.
При установке и первом запуске банковский троян предлагает жертве предоставить разрешения службе специальных возможностей. После получения эти разрешения используются для предоставления дополнительных разрешений и автоматического выполнения различных вредоносных действий.
Возможности Brokewell включают отображение наложенных экранов поверх целевых приложений для сбора учетных данных пользователя. Кроме того, он может извлекать файлы cookie, запуская WebView для загрузки законных веб-сайтов, перехватывая и отправляя файлы cookie сеанса на сервер, контролируемый злоумышленниками.
Банковский троян Brokewell может выполнять множество вредоносных действий
Дополнительные функции Brokewell включают запись звука, создание снимков экрана, доступ к журналам вызовов, определение местоположения устройства, составление списка установленных приложений, регистрацию всех событий устройства, отправку SMS-сообщений, инициацию телефонных звонков, установку и удаление приложений и даже отключение службы специальных возможностей.
Более того, злоумышленники могут использовать возможности удаленного управления вредоносным ПО для просмотра содержимого экрана в реальном времени и взаимодействия с устройством, имитируя щелчки, смахивания и прикосновения.
За мобильное вредоносное ПО Brokewell может быть ответственен новый злоумышленник
Человек, который, как полагают, является разработчиком Броквелла, носит псевдоним Барон Самедит. Исследователи отмечают, что злоумышленник известен как минимум два года продажей инструментов, предназначенных для проверки украденных учетных записей. Эксперты также обнаружили еще один инструмент, приписываемый Samedit, под названием Brokewell Android Loader, размещенный на сервере управления и контроля (C2), используемом Brokewell и доступ к которому имеют многочисленные киберпреступники.
Примечательно, что этот загрузчик способен обходить ограничения Google, реализованные в Android 13 и более поздних версиях, чтобы предотвратить неправильное использование службы специальных возможностей загруженными неопубликованными приложениями (APK).
Этот обход вызывал постоянную обеспокоенность с середины 2022 года и значительно обострился в конце 2023 года с появлением операций «дроппер как услуга» (DaaS), предлагающих его как часть своего сервиса, наряду с вредоносным ПО, включающим эти методы в свои индивидуальные загрузчики.
Как показывает пример Брокуэлла, загрузчики, которые обходят ограничения, препятствующие доступу к Службе доступности для APK-файлов, полученных из ненадежных каналов, теперь стали широко распространены в среде киберугроз.
Киберпреступники используют вредоносные программы с возможностью захвата
Эксперты по безопасности предупреждают, что функции захвата устройств, представленные в банковском вредоносном ПО Brokewell для Android, очень востребованы киберпреступниками. Эти возможности позволяют осуществлять мошенничество непосредственно с устройства жертвы, помогая злоумышленникам уклоняться от инструментов обнаружения и оценки мошенничества.
Ожидается, что Brokewell получит дальнейшее развитие и потенциально будет распространяться среди других киберпреступников через подпольные форумы в рамках предложения «вредоносное ПО как услуга» (MaaS).
Чтобы защитить Android от заражения вредоносным ПО, воздержитесь от загрузки приложений или обновлений из источников за пределами Google Play. Убедитесь, что Google Play Protect всегда активирован на вашем устройстве, чтобы повысить безопасность устройства.
