Brokewell 移动恶意软件

网络犯罪分子正在利用欺诈性浏览器更新来传播一种新发现的名为 Brokewell 的 Android 恶意软件。该恶意软件是当代银行恶意软件的一个有力例子，具有旨在窃取数据和远程控制被入侵设备的功能。研究人员警告称，Brokewell 正在积极开发中，不断更新的更新引入了新的命令，以扩展其恶意功能，例如能够捕获触摸事件、屏幕文本以及受害者启动的应用程序的详细信息。

Brokewell 移动恶意软件伪装成合法应用程序

Brokewell 伪装成合法应用程序，例如 Google Chrome、ID Austria 和 Klarna，使用以下软件包名称：

jcwAz.EpLIq.vcAZiUGZpK (谷歌浏览器)

zRFxj.ieubP.lWZzwlluca（ID 奥地利）

com.brkwl.upstracking（Klarna）

与最近的其他 Android 恶意软件类似，Brokewell 擅长绕过 Google 禁止侧载应用程序请求无障碍服务权限的限制。

在安装和首次启动时，该银行木马会提示受害者授予无障碍服务权限。一旦获得权限，这些权限就会用于授予其他权限并自动执行各种恶意活动。

Brokewell 的功能包括在目标应用程序上显示覆盖屏幕以获取用户凭据。此外，它还可以通过启动 WebView 来加载合法网站，从而提取 cookie，拦截会话 cookie 并将其发送到恶意行为者控制的服务器。

Brokewell 银行木马可执行多种有害操作

Brokewell 的其他功能包括录制音频、截屏、访问通话记录、检索设备位置、列出已安装的应用程序、记录所有设备事件、发送短信、发起电话呼叫、安装和卸载应用程序甚至禁用辅助功能服务。

此外，威胁行为者可以利用恶意软件的远程控制功能查看实时屏幕内容，并通过模拟点击、滑动和触摸与设备进行交互。

Brokewell 移动恶意软件可能由新威胁行为者所为

据称，Brokewell 的开发者名叫 Baron Samedit。研究人员指出，该威胁行为者至少两年前就因出售用于验证被盗账户的工具而闻名。专家们还发现了另一款归属于 Samedit 的工具，名为“Brokewell Android Loader”，托管在 Brokewell 使用的命令与控制 (C2) 服务器上，多名网络犯罪分子可访问该服务器。

值得注意的是，该加载程序能够规避 Google 在 Android 13 及更高版本中实施的限制，以防止侧加载应用程序（APK）滥用辅助功能服务。

这种绕过方式自 2022 年中期以来一直是一个持续关注的问题，并在 2023 年末随着将其作为其服务的一部分提供的 dropper-as-a-service (DaaS) 操作的出现而显著升级，同时恶意软件将这些技术整合到其定制的加载器中。

以 Brokewell 为例，逃避来自不可靠渠道的 APK 访问无障碍服务限制的加载器现已在网络威胁领域变得普遍且广泛分布。

网络犯罪分子正在利用具有接管功能的恶意软件工具

安全专家警告称，Brokewell Android 银行恶意软件中的设备接管功能是网络犯罪分子所热衷的。这些功能可让犯罪者直接从受害者的设备进行欺诈，从而帮助犯罪者逃避欺诈检测和评估工具。

预计 Brokewell 将得到进一步开发，并可能作为恶意软件即服务 (MaaS) 产品的一部分通过地下论坛分发给其他网络犯罪分子。

为了防止 Android 恶意软件感染，请不要从 Google Play 以外的来源下载应用程序或更新。确保您的设备始终处于 Google Play Protect 激活状态，以增强设备安全性。