بدافزار Brokewell Mobile
مجرمان سایبری از بهروزرسانیهای جعلی مرورگر برای توزیع بدافزار اندرویدی تازه شناسایی شده به نام Brokewell سوء استفاده میکنند. این بدافزار نمونهای قوی از بدافزار بانکی معاصر است که دارای قابلیتهایی است که هم برای سرقت دادهها و هم برای کنترل از راه دور دستگاههای نقضشده طراحی شدهاند. محققان هشدار میدهند که Brokewell در حال توسعه فعال است، با بهروزرسانیهای مداوم که دستورات جدیدی را معرفی میکند و قابلیتهای مخرب آن را گسترش میدهد، مانند فعال کردن ضبط رویدادهای لمسی، متن روی صفحه، و جزئیات مربوط به برنامههای کاربردی راهاندازی شده توسط قربانیان.
فهرست مطالب
بدافزار موبایل Brokewell به عنوان برنامه های کاربردی قانونی معرفی می شود
Brokewell با استفاده از نامهای بسته زیر خود را به عنوان برنامههای کاربردی قانونی، مانند Google Chrome، ID Austria و Klarna پنهان میکند:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID اتریش)
com.brkwl.upstracking (Klarna)
مانند سایر بدافزارهای اخیر اندروید، Brokewell در دور زدن محدودیتهای Google که برنامههای جانبی بارگذاری شده را از درخواست مجوزهای سرویس دسترسی منع میکند، ماهر است.
پس از نصب و اولین راهاندازی، تروجان بانکی از قربانی میخواهد که مجوزهای سرویس دسترسی را اعطا کند. پس از به دست آوردن، این مجوزها برای اعطای مجوزهای اضافی و اجرای خودکار فعالیت های مخرب مختلف استفاده می شوند.
از قابلیت های Brokewell می توان به نمایش صفحات همپوشانی در بالای برنامه های هدفمند برای جمع آوری اطلاعات کاربری اشاره کرد. علاوه بر این، میتواند با راهاندازی WebView برای بارگیری وبسایتهای قانونی، رهگیری و ارسال کوکیهای جلسه به سروری که توسط بازیگران بد فکر کنترل میشود، کوکیها را استخراج کند.
تروجان بانکی Brokewell می تواند اقدامات مضر متعددی را انجام دهد
قابلیت های اضافی Brokewell شامل ضبط صدا، گرفتن اسکرین شات، دسترسی به گزارش تماس ها، بازیابی موقعیت مکانی دستگاه، فهرست برنامه های نصب شده، ثبت همه رویدادهای دستگاه، ارسال پیامک، برقراری تماس های تلفنی، نصب و حذف برنامه ها و حتی غیرفعال کردن سرویس دسترسی است.
علاوه بر این، عوامل تهدید میتوانند از قابلیتهای کنترل از راه دور بدافزار برای مشاهده محتوای صفحهنمایش در زمان واقعی و تعامل با دستگاه با شبیهسازی کلیکها، کشیدن انگشت و لمس استفاده کنند.
ممکن است یک بازیگر تهدید جدید مسئول بدافزار موبایل Brokewell باشد
فردی که گمان می رود توسعه دهنده Brokewell باشد با نام مستعار بارون سامدیت شناخته می شود. محققان خاطرنشان می کنند که عامل تهدید حداقل دو سال است که به دلیل فروش ابزارهایی که برای تأیید حساب های سرقت شده طراحی شده اند، شناخته شده است. کارشناسان همچنین ابزار دیگری منتسب به سامدیت به نام «Brokewell Android Loader» را کشف کردهاند که روی یک سرور Command-and-Control (C2) که توسط Brokewell استفاده میشود و چندین مجرم سایبری به آن دسترسی دارند، میزبانی میشود.
قابل ذکر است که این لودر میتواند محدودیتهای Google را که در اندروید ۱۳ و نسخههای جدیدتر اجرا شده است، دور بزند تا از سوء استفاده از سرویس دسترسی توسط برنامههای جانبی (APK) جلوگیری کند.
این بای پس از اواسط سال 2022 یک نگرانی مداوم بوده است و در اواخر سال 2023 با ظهور عملیات dropper-as-a-service (DaaS) که آن را به عنوان بخشی از خدمات خود ارائه می دهد، در کنار بدافزارهایی که این تکنیک ها را در لودرهای سفارشی خود گنجانده بودند، به طور قابل توجهی تشدید شد.
همانطور که توسط Brokewell نشان داده شد، بارگیریهایی که از محدودیتهای جلوگیری از دسترسی به سرویس دسترسپذیری برای فایلهای APK که از کانالهای غیرقابل اعتماد تهیه شدهاند دوری میکنند، اکنون رایج شدهاند و به طور گسترده در چشمانداز تهدید سایبری توزیع شدهاند.
مجرمان سایبری از ابزارهای بدافزار با قابلیت های تصاحب استفاده می کنند
کارشناسان امنیتی هشدار می دهند که عملکردهای تصاحب دستگاه که در بدافزار بانکی Brokewell برای اندروید مشاهده می شود، به شدت مورد توجه مجرمان سایبری قرار گرفته است. این قابلیتها باعث میشود که کلاهبرداری مستقیماً از دستگاه قربانی انجام شود و به مجرمان کمک میکند تا از ابزارهای تشخیص و ارزیابی تقلب فرار کنند.
پیش بینی می شود که Brokewell تحت توسعه بیشتری قرار گیرد و به طور بالقوه از طریق انجمن های زیرزمینی به عنوان بخشی از ارائه بدافزار به عنوان یک سرویس (MaaS) بین سایر مجرمان سایبری توزیع شود.
برای محافظت در برابر آلودگیهای بدافزار Android، از دانلود برنامهها یا بهروزرسانیها از منابع خارج از Google Play خودداری کنید. اطمینان حاصل کنید که Google Play Protect همیشه در دستگاه شما فعال است تا امنیت دستگاه را افزایش دهید.