البرامج الضارة للأجهزة المحمولة من Brokewell
يستغل مجرمو الإنترنت تحديثات المتصفح الاحتيالية لتوزيع برنامج ضار يعمل بنظام Android تم تحديده حديثًا يسمى Brokewell. تمثل هذه البرامج الضارة مثالاً قويًا على البرامج الضارة المصرفية المعاصرة، حيث تمتلك وظائف مصممة لسرقة البيانات والتحكم عن بعد في الأجهزة المخترقة. ويحذر الباحثون من أن Brokewell يخضع لعملية تطوير نشطة، مع تحديثات مستمرة تقدم أوامر جديدة تعمل على توسيع قدراته الضارة، مثل تمكين التقاط أحداث اللمس والنص الذي يظهر على الشاشة وتفاصيل حول التطبيقات التي أطلقها الضحايا.
جدول المحتويات
تتنكر البرامج الضارة للأجهزة المحمولة Brokewell كتطبيقات مشروعة
تتنكر Brokewell كتطبيقات شرعية، مثل Google Chrome وID Austria وKlarna، باستخدام أسماء الحزم التالية:
jcwAz.EpLIq.vcAZiUGZpK (جوجل كروم)
zRFxj.ieubP.lWZzwlluca (ID النمسا)
com.brkwl.upstracking (كلارنا)
على غرار البرامج الضارة الأخرى التي تعمل بنظام Android، فإن Brokewell ماهر في تجاوز قيود Google التي تمنع التطبيقات المحملة جانبيًا من طلب أذونات خدمة الوصول.
عند التثبيت والتشغيل لأول مرة، يطالب حصان طروادة المصرفي الضحية بمنح أذونات خدمة الوصول. بمجرد الحصول عليها، يتم استخدام هذه الأذونات لمنح أذونات إضافية وتنفيذ العديد من الأنشطة الضارة تلقائيًا.
تتضمن إمكانيات Brokewell عرض شاشات متراكبة أعلى التطبيقات المستهدفة للحصول على بيانات اعتماد المستخدم. بالإضافة إلى ذلك، يمكنه استخراج ملفات تعريف الارتباط عن طريق تشغيل WebView لتحميل مواقع الويب الشرعية، واعتراض ملفات تعريف الارتباط للجلسة وإرسالها إلى خادم يتحكم فيه جهات فاعلة سيئة العقول.
يمكن لفيروس طروادة Brokewell Banking Trojan القيام بالعديد من الإجراءات الضارة
تشمل الوظائف الإضافية لـ Brokewell تسجيل الصوت، والتقاط لقطات الشاشة، والوصول إلى سجلات المكالمات، واسترداد موقع الجهاز، وسرد التطبيقات المثبتة، وتسجيل جميع أحداث الجهاز، وإرسال رسائل نصية قصيرة، وبدء المكالمات الهاتفية، وتثبيت التطبيقات وإلغاء تثبيتها، وحتى تعطيل خدمة إمكانية الوصول.
علاوة على ذلك، يمكن للجهات الفاعلة في مجال التهديد استغلال قدرات التحكم عن بعد الخاصة بالبرامج الضارة لعرض محتوى الشاشة في الوقت الفعلي والتفاعل مع الجهاز من خلال محاكاة النقرات والتمرير واللمسات.
قد يكون ممثل التهديد الجديد مسؤولاً عن البرامج الضارة للهاتف المحمول Brokewell
الشخص الذي يُعتقد أنه مطور Brokewell يحمل الاسم المستعار Baron Samedit. ويشير الباحثون إلى أن جهة التهديد معروفة منذ عامين على الأقل ببيع الأدوات المصممة للتحقق من الحسابات المسروقة. اكتشف الخبراء أيضًا أداة أخرى منسوبة إلى Samedit تسمى "Brokewell Android Loader"، مستضافة على خادم القيادة والتحكم (C2) الذي تستخدمه Brokewell ويمكن الوصول إليه من قبل العديد من مجرمي الإنترنت.
والجدير بالذكر أن هذا المُحمل قادر على التحايل على قيود Google المطبقة في Android 13 والإصدارات الأحدث لمنع إساءة استخدام خدمة إمكانية الوصول من خلال التطبيقات التي تم تحميلها بشكل جانبي (APKs).
لقد كان هذا التجاوز مصدر قلق مستمر منذ منتصف عام 2022 وتصاعد بشكل كبير في أواخر عام 2023 مع ظهور عمليات القطارة كخدمة (DaaS) التي تقدمه كجزء من خدمتهم، إلى جانب البرامج الضارة التي تدمج هذه التقنيات في أدوات التحميل المخصصة الخاصة بهم.
وكما يتضح من Brokewell، أصبحت الآن أدوات التحميل التي تتهرب من القيود التي تمنع الوصول إلى خدمة الوصول إلى ملفات APK التي يتم الحصول عليها من قنوات غير موثوقة منتشرة وموزعة على نطاق واسع في مشهد التهديدات السيبرانية.
يستخدم مجرمو الإنترنت أدوات البرامج الضارة بقدرات الاستيلاء
يحذر خبراء الأمن من أن وظائف الاستيلاء على الأجهزة التي تظهر في البرامج الضارة المصرفية Brokewell لنظام Android مطلوبة بشدة من قبل مجرمي الإنترنت. تتيح هذه الإمكانات تنفيذ عمليات الاحتيال مباشرة من جهاز الضحية، مما يساعد مرتكبي الجرائم على تجنب أدوات اكتشاف الاحتيال وتقييمه.
من المتوقع أن تخضع Brokewell لمزيد من التطوير ومن المحتمل أن يتم توزيعها على مجرمي الإنترنت الآخرين من خلال المنتديات السرية كجزء من عرض البرامج الضارة كخدمة (MaaS).
للحماية من الإصابة بالبرامج الضارة التي تعمل بنظام Android، امتنع عن تنزيل التطبيقات أو التحديثات من مصادر خارج Google Play. تأكد من تنشيط Google Play Protect على جهازك في جميع الأوقات لتعزيز أمان الجهاز.
