Brokewell Mobile Malware
Kyberzločinci využívajú podvodné aktualizácie prehliadača na distribúciu novo identifikovaného škodlivého softvéru pre Android s názvom Brokewell. Tento malvér predstavuje silný príklad súčasného bankového malvéru, ktorý má funkcie určené na krádež údajov a diaľkové ovládanie narušených zariadení. Výskumníci upozorňujú, že Brokewell prechádza aktívnym vývojom s priebežnými aktualizáciami, ktoré zavádzajú nové príkazy rozširujúce jeho škodlivé schopnosti, ako je umožnenie zachytávania dotykových udalostí, textu na obrazovke a podrobností o aplikáciách spustených obeťami.
Obsah
The Brokewell Mobile Malware sa vydáva za legitímne aplikácie
Brokewell sa maskuje ako legitímne aplikácie, ako napríklad Google Chrome, ID Austria a Klarna, pomocou nasledujúcich názvov balíkov:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Rakúsko)
com.brkwl.upstracking (Klarna)
Podobne ako v prípade iného nedávneho škodlivého softvéru pre Android, aj Brokewell je zbehlý v obchádzaní obmedzení spoločnosti Google, ktoré zabraňujú aplikáciám s bočným zaťažením žiadať o povolenia služby dostupnosti.
Po inštalácii a prvom spustení bankový trójsky kôň vyzve obeť, aby udelila povolenia pre službu dostupnosti. Po získaní sa tieto povolenia používajú na udeľovanie ďalších povolení a automatické vykonávanie rôznych škodlivých činností.
Medzi schopnosti spoločnosti Brokewell patrí zobrazovanie prekryvných obrazoviek nad cielenými aplikáciami na získavanie používateľských poverení. Okrem toho môže extrahovať súbory cookie spustením WebView na načítanie legitímnych webových stránok, zachytením a odoslaním súborov cookie relácie na server kontrolovaný zle zmýšľajúcimi aktérmi.
Trójsky kôň Brokewell Banking môže vykonávať množstvo škodlivých akcií
Medzi ďalšie funkcie Brokewell patrí nahrávanie zvuku, snímanie snímok obrazovky, prístup k protokolom hovorov, získavanie polohy zariadenia, zoznam nainštalovaných aplikácií, zaznamenávanie všetkých udalostí zariadenia, odosielanie SMS správ, iniciovanie telefónnych hovorov, inštalácia a odinštalovanie aplikácií a dokonca aj zakázanie služby dostupnosti.
Okrem toho môžu aktéri hrozieb využiť možnosti diaľkového ovládania malvéru na zobrazenie obsahu obrazovky v reálnom čase a interakciu so zariadením simuláciou kliknutí, ťahov a dotykov.
Za malvér Brokewell Mobile môže byť zodpovedný nový aktér hrozieb
Osoba, o ktorej sa predpokladá, že je vývojárom Brokewell, sa nazýva barón Samedit. Výskumníci poznamenávajú, že aktér hrozby je známy už najmenej dva roky predajom nástrojov určených na overovanie ukradnutých účtov. Odborníci tiež odhalili ďalší nástroj pripisovaný Sameditu s názvom „Brokewell Android Loader“, ktorý je umiestnený na serveri Command-and-Control (C2), ktorý používa spoločnosť Brokewell a ku ktorému majú prístup viacerí kyberzločinci.
Tento zavádzač je schopný obísť obmedzenia spoločnosti Google implementované v systéme Android 13 a novších verziách, aby sa zabránilo zneužitiu služby dostupnosti aplikáciami stiahnutými z počítača (APK).
Tento obchvat je trvalým problémom od polovice roku 2022 a výrazne sa vystupňoval koncom roka 2023, keď sa objavili operácie typu dropper-as-a-service (DaaS), ktoré ho ponúkajú ako súčasť svojej služby, spolu so škodlivým softvérom, ktorý tieto techniky začleňuje do svojich prispôsobených zavádzačov.
Ako ilustruje Brokewell, zavádzače, ktoré sa vyhýbajú obmedzeniam zabraňujúcim prístupu k službe dostupnosti pre súbory APK pochádzajúce z nespoľahlivých kanálov, sa teraz stali rozšírenými a široko distribuovanými v prostredí kybernetických hrozieb.
Kyberzločinci využívajú malvérové nástroje s možnosťami prevzatia
Bezpečnostní experti upozorňujú, že kybernetickí zločinci veľmi vyhľadávajú funkcie prevzatia zariadení, ktoré sa vyskytujú v bankovom malvéri Brokewell pre Android. Tieto funkcie umožňujú vykonávať podvody priamo zo zariadenia obete, čím pomáhajú páchateľom vyhnúť sa nástrojom na odhaľovanie a hodnotenie podvodov.
Očakáva sa, že Brokewell prejde ďalším vývojom a potenciálne bude distribuovaný ďalším kyberzločincom prostredníctvom podzemných fór ako súčasť ponuky malware-as-a-service (MaaS).
Ak sa chcete chrániť pred infekciou škodlivým softvérom systému Android, nesťahujte aplikácie alebo aktualizácie zo zdrojov mimo služby Google Play. Uistite sa, že je na vašom zariadení vždy aktivovaná služba Google Play Protect, aby sa zvýšila bezpečnosť zariadenia.
