มัลแวร์มือถือ Brokewell
อาชญากรไซเบอร์ใช้ประโยชน์จากการอัปเดตเบราว์เซอร์ที่ฉ้อโกงเพื่อเผยแพร่มัลแวร์ Android ที่ระบุชื่อใหม่ชื่อ Brokewell มัลแวร์นี้เป็นตัวอย่างที่มีศักยภาพของมัลแวร์ธนาคารร่วมสมัย ซึ่งมีฟังก์ชันที่ออกแบบมาเพื่อขโมยข้อมูลและการควบคุมอุปกรณ์ที่ถูกละเมิดจากระยะไกล นักวิจัยเตือนว่า Brokewell กำลังอยู่ระหว่างการพัฒนา โดยมีการอัปเดตอย่างต่อเนื่องที่แนะนำคำสั่งใหม่ๆ ที่ขยายขีดความสามารถที่เป็นอันตราย เช่น การเปิดใช้งานการจับภาพเหตุการณ์การสัมผัส ข้อความบนหน้าจอ และรายละเอียดเกี่ยวกับแอปพลิเคชันที่เหยื่อเปิดตัว
สารบัญ
การสวมหน้ากากมัลแวร์ Brokewell Mobile เป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย
Brokewell ปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย เช่น Google Chrome, ID Austria และ Klarna โดยใช้ชื่อแพ็คเกจต่อไปนี้:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID ออสเตรีย)
com.brkwl.upstracking (คลาร์นา)
เช่นเดียวกับมัลแวร์ Android อื่นๆ ล่าสุด Brokewell เชี่ยวชาญในการหลีกเลี่ยงข้อจำกัดของ Google ที่ห้ามไม่ให้แอปพลิเคชันไซด์โหลดร้องขอการอนุญาตบริการการเข้าถึง
เมื่อติดตั้งและเปิดใช้งานครั้งแรก โทรจันธนาคารจะแจ้งให้เหยื่อให้สิทธิ์การเข้าถึงบริการ เมื่อได้รับสิทธิ์แล้ว สิทธิ์เหล่านี้จะถูกใช้เพื่อให้สิทธิ์เพิ่มเติมและดำเนินกิจกรรมที่เป็นอันตรายต่างๆ โดยอัตโนมัติ
ความสามารถของ Brokewell ได้แก่ การแสดงหน้าจอซ้อนทับที่ด้านบนของแอปพลิเคชันเป้าหมายเพื่อเก็บเกี่ยวข้อมูลรับรองผู้ใช้ นอกจากนี้ ยังสามารถแยกคุกกี้โดยการเปิดตัว WebView เพื่อโหลดเว็บไซต์ที่ถูกกฎหมาย สกัดกั้นและส่งคุกกี้เซสชันไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้กระทำผิด
โทรจัน Brokewell Banking สามารถดำเนินการที่เป็นอันตรายได้มากมาย
ฟังก์ชันเพิ่มเติมของ Brokewell ได้แก่ การบันทึกเสียง การจับภาพหน้าจอ การเข้าถึงบันทึกการโทร การดึงข้อมูลตำแหน่งอุปกรณ์ การแสดงรายการแอปที่ติดตั้ง บันทึกเหตุการณ์ของอุปกรณ์ทั้งหมด การส่งข้อความ SMS การเริ่มต้นการโทร การติดตั้งและถอนการติดตั้งแอป และแม้กระทั่งการปิดใช้งานบริการการเข้าถึง
นอกจากนี้ ผู้คุกคามยังสามารถใช้ประโยชน์จากความสามารถในการควบคุมระยะไกลของมัลแวร์เพื่อดูเนื้อหาบนหน้าจอแบบเรียลไทม์และโต้ตอบกับอุปกรณ์โดยการจำลองการคลิก การปัด และการสัมผัส
ผู้คุกคามรายใหม่อาจต้องรับผิดชอบต่อมัลแวร์ Brokewell Mobile
บุคคลที่เชื่อว่าเป็นผู้พัฒนา Brokewell มีนามแฝงว่า Baron Samedit นักวิจัยทราบว่าผู้คุกคามเป็นที่รู้จักมาเป็นเวลาอย่างน้อยสองปีในการขายเครื่องมือที่ออกแบบมาเพื่อตรวจสอบบัญชีที่ถูกขโมย ผู้เชี่ยวชาญยังได้ค้นพบเครื่องมืออีกอย่างหนึ่งของ Samedit ที่เรียกว่า 'Brokewell Android Loader' ซึ่งโฮสต์บนเซิร์ฟเวอร์ Command-and-Control (C2) ที่ Brokewell ใช้และเข้าถึงได้โดยอาชญากรไซเบอร์หลายราย
ตัวโหลดนี้สามารถหลีกเลี่ยงข้อจำกัดของ Google ที่ใช้ใน Android 13 และเวอร์ชันที่ใหม่กว่าได้ เพื่อป้องกันการนำบริการการเข้าถึงไปใช้ในทางที่ผิดโดยแอปที่ไซด์โหลด (APK)
การเลี่ยงผ่านนี้ถือเป็นข้อกังวลอย่างต่อเนื่องตั้งแต่กลางปี 2022 และทวีความรุนแรงขึ้นอย่างมากในช่วงปลายปี 2023 ด้วยการเกิดขึ้นของการดำเนินการ dropper-as-a-service (DaaS) โดยเสนอให้เป็นส่วนหนึ่งของบริการ ควบคู่ไปกับมัลแวร์ที่รวมเทคนิคเหล่านี้ไว้ในตัวโหลดที่ปรับแต่งเอง
ตามตัวอย่างโดย Brokewell ตัวโหลดที่หลบเลี่ยงข้อจำกัดที่ขัดขวางการเข้าถึงบริการการเข้าถึงสำหรับ APK ที่มาจากช่องทางที่ไม่น่าเชื่อถือ ได้กลายเป็นที่แพร่หลายและแพร่กระจายอย่างกว้างขวางในภูมิทัศน์ภัยคุกคามทางไซเบอร์
อาชญากรไซเบอร์ใช้เครื่องมือมัลแวร์ที่มีความสามารถในการครอบครอง
ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าฟังก์ชันการครอบครองอุปกรณ์ที่พบในมัลแวร์ Brokewell Banking สำหรับ Android เป็นที่ต้องการอย่างมากจากอาชญากรไซเบอร์ ความสามารถเหล่านี้ช่วยให้สามารถดำเนินการฉ้อโกงได้โดยตรงจากอุปกรณ์ของเหยื่อ ช่วยให้ผู้กระทำผิดสามารถหลบเลี่ยงเครื่องมือตรวจจับและประเมินการฉ้อโกงได้
คาดว่า Brokewell จะได้รับการพัฒนาเพิ่มเติม และอาจแจกจ่ายให้กับอาชญากรไซเบอร์รายอื่นๆ ผ่านทางฟอรัมใต้ดิน ซึ่งเป็นส่วนหนึ่งของข้อเสนอ Malware-as-a-service (MaaS)
เพื่อป้องกันการติดมัลแวร์ Android โปรดอย่าดาวน์โหลดแอปพลิเคชันหรืออัปเดตจากแหล่งภายนอก Google Play ตรวจสอบให้แน่ใจว่าเปิดใช้งาน Google Play Protect บนอุปกรณ์ของคุณตลอดเวลาเพื่อเพิ่มความปลอดภัยของอุปกรณ์