มัลแวร์มือถือ Brokewell

อาชญากรไซเบอร์ใช้ประโยชน์จากการอัปเดตเบราว์เซอร์ที่ฉ้อโกงเพื่อเผยแพร่มัลแวร์ Android ที่ระบุชื่อใหม่ชื่อ Brokewell มัลแวร์นี้เป็นตัวอย่างที่มีศักยภาพของมัลแวร์ธนาคารร่วมสมัย ซึ่งมีฟังก์ชันที่ออกแบบมาเพื่อขโมยข้อมูลและการควบคุมอุปกรณ์ที่ถูกละเมิดจากระยะไกล นักวิจัยเตือนว่า Brokewell กำลังอยู่ระหว่างการพัฒนา โดยมีการอัปเดตอย่างต่อเนื่องที่แนะนำคำสั่งใหม่ๆ ที่ขยายขีดความสามารถที่เป็นอันตราย เช่น การเปิดใช้งานการจับภาพเหตุการณ์การสัมผัส ข้อความบนหน้าจอ และรายละเอียดเกี่ยวกับแอปพลิเคชันที่เหยื่อเปิดตัว

การสวมหน้ากากมัลแวร์ Brokewell Mobile เป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย

Brokewell ปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย เช่น Google Chrome, ID Austria และ Klarna โดยใช้ชื่อแพ็คเกจต่อไปนี้:

jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)

zRFxj.ieubP.lWZzwlluca (ID ออสเตรีย)

com.brkwl.upstracking (คลาร์นา)

เช่นเดียวกับมัลแวร์ Android อื่นๆ ล่าสุด Brokewell เชี่ยวชาญในการหลีกเลี่ยงข้อจำกัดของ Google ที่ห้ามไม่ให้แอปพลิเคชันไซด์โหลดร้องขอการอนุญาตบริการการเข้าถึง

เมื่อติดตั้งและเปิดใช้งานครั้งแรก โทรจันธนาคารจะแจ้งให้เหยื่อให้สิทธิ์การเข้าถึงบริการ เมื่อได้รับสิทธิ์แล้ว สิทธิ์เหล่านี้จะถูกใช้เพื่อให้สิทธิ์เพิ่มเติมและดำเนินกิจกรรมที่เป็นอันตรายต่างๆ โดยอัตโนมัติ

ความสามารถของ Brokewell ได้แก่ การแสดงหน้าจอซ้อนทับที่ด้านบนของแอปพลิเคชันเป้าหมายเพื่อเก็บเกี่ยวข้อมูลรับรองผู้ใช้ นอกจากนี้ ยังสามารถแยกคุกกี้โดยการเปิดตัว WebView เพื่อโหลดเว็บไซต์ที่ถูกกฎหมาย สกัดกั้นและส่งคุกกี้เซสชันไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้กระทำผิด

โทรจัน Brokewell Banking สามารถดำเนินการที่เป็นอันตรายได้มากมาย

ฟังก์ชันเพิ่มเติมของ Brokewell ได้แก่ การบันทึกเสียง การจับภาพหน้าจอ การเข้าถึงบันทึกการโทร การดึงข้อมูลตำแหน่งอุปกรณ์ การแสดงรายการแอปที่ติดตั้ง บันทึกเหตุการณ์ของอุปกรณ์ทั้งหมด การส่งข้อความ SMS การเริ่มต้นการโทร การติดตั้งและถอนการติดตั้งแอป และแม้กระทั่งการปิดใช้งานบริการการเข้าถึง

นอกจากนี้ ผู้คุกคามยังสามารถใช้ประโยชน์จากความสามารถในการควบคุมระยะไกลของมัลแวร์เพื่อดูเนื้อหาบนหน้าจอแบบเรียลไทม์และโต้ตอบกับอุปกรณ์โดยการจำลองการคลิก การปัด และการสัมผัส

ผู้คุกคามรายใหม่อาจต้องรับผิดชอบต่อมัลแวร์ Brokewell Mobile

บุคคลที่เชื่อว่าเป็นผู้พัฒนา Brokewell มีนามแฝงว่า Baron Samedit นักวิจัยทราบว่าผู้คุกคามเป็นที่รู้จักมาเป็นเวลาอย่างน้อยสองปีในการขายเครื่องมือที่ออกแบบมาเพื่อตรวจสอบบัญชีที่ถูกขโมย ผู้เชี่ยวชาญยังได้ค้นพบเครื่องมืออีกอย่างหนึ่งของ Samedit ที่เรียกว่า 'Brokewell Android Loader' ซึ่งโฮสต์บนเซิร์ฟเวอร์ Command-and-Control (C2) ที่ Brokewell ใช้และเข้าถึงได้โดยอาชญากรไซเบอร์หลายราย

ตัวโหลดนี้สามารถหลีกเลี่ยงข้อจำกัดของ Google ที่ใช้ใน Android 13 และเวอร์ชันที่ใหม่กว่าได้ เพื่อป้องกันการนำบริการการเข้าถึงไปใช้ในทางที่ผิดโดยแอปที่ไซด์โหลด (APK)

การเลี่ยงผ่านนี้ถือเป็นข้อกังวลอย่างต่อเนื่องตั้งแต่กลางปี 2022 และทวีความรุนแรงขึ้นอย่างมากในช่วงปลายปี 2023 ด้วยการเกิดขึ้นของการดำเนินการ dropper-as-a-service (DaaS) โดยเสนอให้เป็นส่วนหนึ่งของบริการ ควบคู่ไปกับมัลแวร์ที่รวมเทคนิคเหล่านี้ไว้ในตัวโหลดที่ปรับแต่งเอง

ตามตัวอย่างโดย Brokewell ตัวโหลดที่หลบเลี่ยงข้อจำกัดที่ขัดขวางการเข้าถึงบริการการเข้าถึงสำหรับ APK ที่มาจากช่องทางที่ไม่น่าเชื่อถือ ได้กลายเป็นที่แพร่หลายและแพร่กระจายอย่างกว้างขวางในภูมิทัศน์ภัยคุกคามทางไซเบอร์

อาชญากรไซเบอร์ใช้เครื่องมือมัลแวร์ที่มีความสามารถในการครอบครอง

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าฟังก์ชันการครอบครองอุปกรณ์ที่พบในมัลแวร์ Brokewell Banking สำหรับ Android เป็นที่ต้องการอย่างมากจากอาชญากรไซเบอร์ ความสามารถเหล่านี้ช่วยให้สามารถดำเนินการฉ้อโกงได้โดยตรงจากอุปกรณ์ของเหยื่อ ช่วยให้ผู้กระทำผิดสามารถหลบเลี่ยงเครื่องมือตรวจจับและประเมินการฉ้อโกงได้

คาดว่า Brokewell จะได้รับการพัฒนาเพิ่มเติม และอาจแจกจ่ายให้กับอาชญากรไซเบอร์รายอื่นๆ ผ่านทางฟอรัมใต้ดิน ซึ่งเป็นส่วนหนึ่งของข้อเสนอ Malware-as-a-service (MaaS)

เพื่อป้องกันการติดมัลแวร์ Android โปรดอย่าดาวน์โหลดแอปพลิเคชันหรืออัปเดตจากแหล่งภายนอก Google Play ตรวจสอบให้แน่ใจว่าเปิดใช้งาน Google Play Protect บนอุปกรณ์ของคุณตลอดเวลาเพื่อเพิ่มความปลอดภัยของอุปกรณ์