Cercetătorii în securitate au descoperit un nou troian bancar pentru Android pe care l-au numit Brokewell, care poate captura fiecare eveniment de pe dispozitiv, de la atingeri și informații afișate la introducerea textului și aplicațiile pe care utilizatorul le lansează.
Malware-ul este livrat printr-o actualizare falsă a Google Chrome care este afișată în timp ce se folosește browser-ul web. Brokewell este în dezvoltare activă și prezintă o combinație de preluare extensivă a dispozitivului și capacități de control la distanță.
Cercetătorii de la compania de gestionare a riscului de fraudă ThreatFabric au descoperit Brokewell după ce au investigat o pagină falsă de actualizare Chrome care a descărcat un payload, o metodă obișnuită de păcălire a utilizatorilor neatenți pentru a instala malware.
Uitându-se la campaniile anterioare, cercetătorii au descoperit că Brokewell fusese folosit anterior pentru a viza serviciile financiare „cumpără acum, plătește mai târziu” (de ex. Klarna) și se dădea drept o aplicație austriacă de autentificare digitală numită ID Austria.
Capacitățile principale ale lui Brokewell sunt de a fura date și de a oferi control la distanță atacatorilor.
Raportările ThreatFabric arată că dezvoltatorul din spatele lui Brokewell este o persoană care se autointitulează Baron Samedit, care timp de cel puțin doi ani a vândut instrumente pentru verificarea conturilor furate.
Cercetătorii au descoperit un alt instrument numit „Brokewell Android Loader”, de asemenea dezvoltat de Samedit. Instrumentul era găzduit pe unul dintre serverele care acționa ca server de comandă și control pentru Brokewell și este folosit de mai mulți infractori cibernetici.
Interesant, acest loader poate ocoli restricțiile impuse de Google în Android 13 și mai târziu pentru a preveni abuzul serviciului de accesibilitate pentru aplicațiile încărcate lateral (APK-uri).
Această ocolire a fost o problemă începând cu mijlocul anului 2022 și a devenit o problemă mai mare la sfârșitul anului 2023, odată cu disponibilitatea operațiunilor de distribuire ca serviciu (DaaS) care o ofereau ca parte a serviciului lor, precum și a malware-ului care încorporează tehnicile în încărcătoarele lor personalizate.
Asa cum a fost evidențiat cu Brokewell, încărcătoarele care ocolesc restricțiile pentru a preveni acordarea accesului la serviciul de accesibilitate pentru APK-uri descărcate din surse dubioase au devenit acum comune și larg implementate în sălbăticie.
Cercetătorii în securitate avertizează că capacitățile de preluare a dispozitivului cum ar fi cele disponibile în troianul Brokewell pentru Android sunt foarte căutate de infractorii cibernetici deoarece le permite să efectueze frauda de pe dispozitivul victimei, evitând astfel instrumentele de evaluare și detectare a fraudelor.
Se așteaptă ca Brokewell să fie dezvoltat în continuare și oferit altor infractori cibernetici pe forumuri clandestine ca parte a unei operațiuni de malware ca serviciu (MaaS).
Pentru a vă proteja de infecțiile malware pentru Android, evitați descărcarea de aplicații sau actualizări de aplicații din afara Google Play și asigurați-vă că Protecția Play este activată pe dispozitivul dvs. în orice moment.
Leave a Reply