Brokewell Mobile Malware
Cyberbrottslingar utnyttjar bedrägliga webbläsaruppdateringar för att distribuera en nyligen identifierad skadlig programvara för Android vid namn Brokewell. Den här skadliga programvaran är ett potent exempel på modern bankskadlig kod, som har funktioner som är utformade för både datastöld och fjärrkontroll av enheter som har brutits. Forskare varnar för att Brokewell genomgår aktiv utveckling, med pågående uppdateringar som introducerar nya kommandon som utökar dess skadliga möjligheter, som att möjliggöra infångning av beröringshändelser, text på skärmen och detaljer om applikationer som lanserats av offren.
Innehållsförteckning
Brokewell Mobile Malware maskerar sig som legitima applikationer
Brokewell klär ut sig som legitima applikationer, som Google Chrome, ID Austria och Klarna, med följande paketnamn:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Österrike)
com.brkwl.uptracking (Klarna)
I likhet med andra nyare skadliga Android-program är Brokewell skicklig på att kringgå Googles begränsningar som förbjuder sidladdade applikationer från att begära behörigheter för tillgänglighetstjänster.
Vid installation och första lansering uppmanar banktrojanen offret att ge åtkomsttjänsttillstånd. När de har erhållits används dessa behörigheter för att ge ytterligare behörigheter och utföra olika skadliga aktiviteter automatiskt.
Brokewells möjligheter inkluderar att visa överläggsskärmar ovanpå riktade applikationer för att samla in användaruppgifter. Dessutom kan den extrahera cookies genom att starta en WebView för att ladda legitima webbplatser, avlyssna och skicka sessionscookies till en server som kontrolleras av illasinnade aktörer.
Brokewell Banking Trojan kan utföra många skadliga åtgärder
Ytterligare funktioner i Brokewell omfattar inspelning av ljud, ta skärmdumpar, komma åt samtalsloggar, hämta enhetsplats, lista installerade appar, logga alla enhetshändelser, skicka SMS, initiera telefonsamtal, installera och avinstallera appar och till och med inaktivera tillgänglighetstjänsten.
Dessutom kan hotaktörer utnyttja skadlig programvaras fjärrkontrollfunktioner för att se skärminnehåll i realtid och interagera med enheten genom att simulera klick, svep och beröring.
En ny hotskådespelare kan vara ansvarig för Brokewell Mobile Malware
Individen som tros vara utvecklaren av Brokewell går under aliaset Baron Samedit. Forskare noterar att hotaktören har varit känd i minst två år för att sälja verktyg utformade för att verifiera stulna konton. Experterna har också avslöjat ett annat verktyg som tillskrivs Samedit, kallat "Brokewell Android Loader", som ligger på en Command-and-Control-server (C2) som används av Brokewell och som nås av flera cyberkriminella.
Noterbart är att den här laddaren kan kringgå Googles begränsningar implementerade i Android 13 och senare versioner för att förhindra missbruk av tillgänglighetstjänsten av sidladdade appar (APK).
Denna bypass har varit ett pågående problem sedan mitten av 2022 och eskalerade avsevärt i slutet av 2023 med uppkomsten av dropper-as-a-service (DaaS)-verksamheter som erbjuder den som en del av deras tjänst, tillsammans med skadlig programvara som införlivar dessa tekniker i sina skräddarsydda laddare.
Som exemplifierats av Brokewell har laddare som undviker restriktioner som förhindrar åtkomst till tillgänglighetstjänster för APK-filer som kommer från opålitliga kanaler nu blivit vanliga och spridda i cyberhotslandskapet.
Cyberkriminella använder verktyg för skadlig programvara med övertagandemöjligheter
Säkerhetsexperter varnar för att funktionerna för övertagande av enheter som ses i Brokewell banking malware för Android är mycket eftertraktade av cyberbrottslingar. Dessa funktioner gör att bedrägeri kan utföras direkt från offrets enhet, vilket hjälper förövare att undvika bedrägeriupptäckts- och bedömningsverktyg.
Det förväntas att Brokewell kommer att genomgå ytterligare utveckling och potentiellt distribueras till andra cyberbrottslingar genom underjordiska forum som en del av ett erbjudande om malware-as-a-service (MaaS).
För att skydda dig mot infektioner med skadlig programvara från Android, avstå från att ladda ner appar eller uppdateringar från källor utanför Google Play. Se till att Google Play Protect är aktiverat på din enhet hela tiden för att förbättra enhetens säkerhet.
