Brokewell Mobile Malware
Сајбер криминалци искоришћавају лажна ажурирања претраживача да дистрибуирају новоидентификовани Андроид малвер под називом Брокевелл. Овај малвер представља моћан пример савременог банкарског малвера, који поседује функционалности дизајниране и за крађу података и за даљинску контролу проваљених уређаја. Истраживачи упозоравају да је Брокевелл у току активног развоја, са текућим ажурирањима која уводе нове команде које проширују његове злонамерне могућности, као што је омогућавање снимања додирних догађаја, текста на екрану и детаља о апликацијама које су жртве покренуле.
Преглед садржаја
Брокевелл Мобиле Малваре маскира као легитимне апликације
Брокевелл се маскира у легитимне апликације, као што су Гоогле Цхроме, ИД Аустриа и Кларна, користећи следеће називе пакета:
јцвАз.ЕпЛИк.вцАЗиУГЗпК (Гоогле Цхроме)
зРФкј.иеубП.лВЗзвллуца (ИД Аустрија)
цом.брквл.упстрацкинг (Кларна)
Слично другом недавном Андроид малверу, Брокевелл је вешт у заобилажењу Гоогле-ових ограничења која забрањују апликацијама са стране да траже дозволе за услугу приступачности.
Након инсталације и првог покретања, банкарски тројанац тражи од жртве да додели дозволе за услугу приступачности. Када се добију, ове дозволе се користе за давање додатних дозвола и аутоматско извршавање разних злонамерних активности.
Брокевелл-ове могућности укључују приказивање преклапајућих екрана на циљаним апликацијама за прикупљање корисничких акредитива. Поред тога, може издвојити колачиће покретањем ВебВиев-а за учитавање легитимних веб локација, пресретање и слање колачића сесије на сервер који контролишу злобни актери.
Банкарски тројанац Брокевелл може да изврши бројне штетне радње
Додатне функције Брокевелл-а обухватају снимање звука, снимање снимака екрана, приступ евиденцији позива, преузимање локације уређаја, попис инсталираних апликација, евидентирање свих догађаја на уређају, слање СМС порука, покретање телефонских позива, инсталирање и деинсталирање апликација, па чак и онемогућавање услуге приступачности.
Штавише, актери претњи могу да искористе могућности даљинског управљања малвера за преглед садржаја екрана у реалном времену и интеракцију са уређајем симулацијом кликова, превлачења и додира.
Нови актер претње може бити одговоран за злонамерни софтвер Брокевелл Мобиле
Особа за коју се верује да је програмер Брокевелл-а носи псеудоним Барон Самедит. Истраживачи примећују да је актер претње познат најмање две године по продаји алата дизајнираних да верификује украдене налоге. Стручњаци су такође открили још један алат који се приписује Самедиту под називом 'Брокевелл Андроид Лоадер', који се налази на серверу за команду и контролу (Ц2) који користи Брокевелл и којем приступа више сајбер криминалаца.
Посебно, овај учитавач је у стању да заобиђе Гоогле-ова ограничења примењена у Андроид 13 и новијим верзијама како би спречио злоупотребу услуге приступачности од стране апликација са стране (АПК).
Ова заобилажења је била стална брига од средине 2022. године и значајно је ескалирала крајем 2023. са појавом операција дроппер-ас-а-сервице (ДааС) које су га нудиле као део своје услуге, заједно са злонамерним софтвером који ове технике укључује у своје прилагођене учитаваче.
Као што је пример Брокевелл-а, учитавачи који избегавају ограничења која спречавају приступ услузи приступачности за АПК-ове добијене са непоузданих канала сада су постали преовлађујући и широко распрострањени у окружењу сајбер претњи.
Сајбер криминалци користе малвер алате са могућностима преузимања
Стручњаци за безбедност упозоравају да су функције преузимања уређаја које се виде у Брокевелл банкарском малверу за Андроид веома тражене од стране сајбер криминалаца. Ове могућности омогућавају да се превара спроводи директно са уређаја жртве, помажући починиоцима да избегну алате за откривање и процену преваре.
Очекује се да ће Брокевелл бити подвргнут даљем развоју и потенцијално бити дистрибуиран другим сајбер криминалцима путем подземних форума као део понуде малвера као услуге (МааС).
Да бисте се заштитили од зараза Андроид малвером, уздржите се од преузимања апликација или ажурирања из извора изван Гоогле Плаи-а. Уверите се да је Гоогле Плаи заштита увек активирана на вашем уређају да бисте побољшали безбедност уређаја.
