Brokewell Mobile Malware
Os cibercriminosos estão explorando atualizações fraudulentas do navegador para distribuir um malware Android recém-identificado chamado Brokewell. Este malware representa um exemplo potente de malware bancário contemporâneo, possuindo funcionalidades projetadas tanto para roubo de dados quanto para controle remoto de dispositivos violados. Os investigadores alertam que o Brokewell está em desenvolvimento ativo, com atualizações contínuas que introduzem novos comandos que expandem as suas capacidades maliciosas, como permitir a captura de eventos de toque, texto no ecrã e detalhes sobre as aplicações iniciadas pelas vítimas.
Índice
O Brokewell Mobile Malware Se Disfarça como Aplicativos Legítimos
O Brokewell se disfarça como um aplicativos legítimo, tal, como o Google Chrome, ID Austria e Klarna, usando os seguintes nomes de pacotes:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Áustria)
com.brkwl.upstracking (Klarna)
Semelhante a outros malwares recentes para Android, Brokewell é especialista em contornar as restrições do Google que proíbem aplicativos transferidos de sidel de solicitar permissões de serviço de acessibilidade.
Após a instalação e o primeiro lançamento, o trojan bancário solicita à vítima que conceda permissões de serviço de acessibilidade. Uma vez obtidas, essas permissões são usadas para conceder permissões adicionais e executar várias atividades maliciosas automaticamente.
Os recursos do Brokewell incluem a exibição de telas sobrepostas em aplicativos direcionados para coletar credenciais do usuário. Além disso, ele pode extrair cookies iniciando um WebView para carregar sites legítimos, interceptando e enviando cookies de sessão para um servidor controlado por atores mal-intencionados.
O Trojan Brokewell Banking pode Realizar Inúmeras Ações Prejudiciais
As funcionalidades adicionais do Brokewell incluem gravação de áudio, captura de tela, acesso a registros de chamadas, recuperação da localização do dispositivo, listagem de aplicativos instalados, registro de todos os eventos do dispositivo, envio de mensagens SMS, início de chamadas telefônicas, instalação e desinstalação de aplicativos e até mesmo desativação do serviço de acessibilidade.
Além disso, os agentes de ameaças podem explorar os recursos de controle remoto do malware para visualizar o conteúdo da tela em tempo real e interagir com o dispositivo, simulando cliques, deslizamentos e toques.
Um Novo Autor de Ameaça pode ser Responsável pelo Brokewell Mobile Malware
O indivíduo que se acredita ser o desenvolvedor de Brokewell atende pelo pseudônimo de Baron Samedit. Os pesquisadores observam que o ator da ameaça é conhecido há pelo menos dois anos por vender ferramentas projetadas para verificar contas roubadas. Os especialistas também descobriram outra ferramenta atribuída a Samedit chamada ‘Brokewell Android Loader’, hospedada em um servidor de comando e controle (C2) usado por Brokewell e acessado por vários cibercriminosos.
Notavelmente, este carregador é capaz de contornar as restrições do Google implementadas no Android 13 e versões posteriores para evitar o uso indevido do Serviço de Acessibilidade por aplicativos transferidos por sideload (APKs).
Esse desvio tem sido uma preocupação constante desde meados de 2022 e aumentou significativamente no final de 2023 com o surgimento de operações dropper-as-a-service (DaaS) que o oferecem como parte de seu serviço, juntamente com malware que incorpora essas técnicas em seus carregadores personalizados.
Conforme exemplificado por Brokewell, os carregadores que evitam as restrições que impedem o acesso ao Serviço de Acessibilidade para APKs provenientes de canais não confiáveis tornaram-se agora predominantes e amplamente distribuídos no cenário de ameaças cibernéticas.
Os Cibercriminosos estão Utilizando Ferramentas de Malware com Recursos de Aquisição
Os especialistas em segurança alertam que as funcionalidades de controle de dispositivos vistas no malware bancário Brokewell para Android são muito procuradas pelos cibercriminosos. Esses recursos permitem que a fraude seja realizada diretamente no dispositivo da vítima, ajudando os perpetradores a escapar das ferramentas de detecção e avaliação de fraude.
Prevê-se que o Brokewell passará por um maior desenvolvimento e será potencialmente distribuído a outros cibercriminosos através de fóruns clandestinos como parte de uma oferta de malware como serviço (MaaS).
Para se proteger contra infecções por malware do Android, evite baixar aplicativos ou atualizações de fontes fora do Google Play. Certifique-se de que o Google Play Protect esteja sempre ativado em seu dispositivo para aumentar a segurança do dispositivo.
