Brokewell Mobile Malware
Кіберзлочинці використовують шахрайські оновлення веб-переглядача, щоб розповсюджувати щойно виявлену шкідливу програму для Android під назвою Brokewell. Це зловмисне програмне забезпечення є потужним прикладом сучасного банківського зловмисного програмного забезпечення, яке має функції, призначені як для крадіжки даних, так і для дистанційного керування зламаними пристроями. Дослідники попереджають, що Brokewell знаходиться в стадії активного розвитку, з постійними оновленнями, які вводять нові команди, що розширюють його шкідливі можливості, такі як увімкнення захоплення подій дотику, тексту на екрані та деталей про програми, запущені жертвами.
Зміст
Зловмисне програмне забезпечення Brokewell Mobile маскується під законні програми
Brokewell маскується під законні програми, такі як Google Chrome, ID Austria та Klarna, використовуючи такі назви пакетів:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Австрія)
com.brkwl.upstracking (Klarna)
Подібно до інших недавніх зловмисних програм для Android, Brokewell вправно обходить обмеження Google, які забороняють завантаженим стороннім програмам запитувати дозволи служби доступності.
Після встановлення та першого запуску банківський троян пропонує жертві надати дозвіл службі доступності. Після отримання ці дозволи використовуються для надання додаткових дозволів і автоматичного виконання різних шкідливих дій.
Можливості Brokewell включають відображення накладених екранів поверх цільових програм для збору облікових даних користувача. Крім того, він може отримувати файли cookie, запускаючи WebView для завантаження законних веб-сайтів, перехоплюючи та надсилаючи файли cookie сеансу на сервер, контрольований недоброзичливцями.
Банківський троян Brokewell може виконувати численні шкідливі дії
Додаткові функції Brokewell включають запис аудіо, створення знімків екрана, доступ до журналів викликів, отримання місцезнаходження пристрою, перелік встановлених програм, реєстрацію всіх подій пристрою, надсилання SMS-повідомлень, ініціювання телефонних дзвінків, встановлення та видалення програм і навіть відключення служби доступності.
Крім того, зловмисники можуть використовувати можливості дистанційного керування зловмисним програмним забезпеченням для перегляду вмісту екрана в реальному часі та взаємодії з пристроєм, імітуючи клацання, змахування та дотики.
Новий зловмисник може нести відповідальність за зловмисне програмне забезпечення Brokewell Mobile
Особа, яку вважають розробником Brokewell, має псевдонім Baron Samedit. Дослідники відзначають, що зловмисник відомий як мінімум два роки продажем інструментів, призначених для перевірки вкрадених облікових записів. Експерти також виявили інший інструмент, приписуваний Samedit, під назвою «Brokewell Android Loader», розміщений на сервері Command-and-Control (C2), який використовується Brokewell і до якого мають доступ численні кіберзлочинці.
Примітно, що цей завантажувач здатний обходити обмеження Google, реалізовані в Android 13 і пізніших версіях, щоб запобігти неправильному використанню Accessibility Service сторонніми програмами (APK).
Цей обхід викликає постійне занепокоєння з середини 2022 року та значно загострився наприкінці 2023 року з появою операцій дроппера як послуги (DaaS), які пропонують його як частину своїх послуг, поряд із зловмисним програмним забезпеченням, яке використовує ці методи у своїх налаштованих завантажувачах.
Як показує Brokewell, завантажувачі, які уникають обмежень, що перешкоджають доступу до служби доступності для файлів APK, отриманих із ненадійних каналів, тепер стали поширеними та широко поширеними в середовищі кіберзагроз.
Кіберзлочинці використовують інструменти зловмисного програмного забезпечення з можливостями поглинання
Експерти з безпеки попереджають, що кіберзлочинці дуже затребувані функціональними можливостями захоплення пристроїв у банківському шкідливому програмному забезпеченні Brokewell для Android. Ці можливості дозволяють здійснювати шахрайство безпосередньо з пристрою жертви, допомагаючи зловмисникам уникнути інструментів виявлення та оцінки шахрайства.
Очікується, що Brokewell буде проходити подальший розвиток і потенційно буде поширюватися серед інших кіберзлочинців через підпільні форуми в рамках пропозиції зловмисного програмного забезпечення як послуги (MaaS).
Щоб захиститися від зараження зловмисним програмним забезпеченням Android, утримайтеся від завантаження програм або оновлень із джерел за межами Google Play. Переконайтеся, що Google Play Protect постійно активовано на вашому пристрої, щоб підвищити безпеку пристрою.
