Κακόβουλο λογισμικό Brokewell Mobile
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται δόλιες ενημερώσεις προγράμματος περιήγησης για να διανείμουν ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό Android που ονομάζεται Brokewell. Αυτό το κακόβουλο λογισμικό αντιπροσωπεύει ένα ισχυρό παράδειγμα σύγχρονου τραπεζικού κακόβουλου λογισμικού, το οποίο διαθέτει λειτουργίες σχεδιασμένες τόσο για κλοπή δεδομένων όσο και για απομακρυσμένο έλεγχο συσκευών που έχουν παραβιαστεί. Οι ερευνητές προειδοποιούν ότι το Brokewell βρίσκεται υπό ενεργό ανάπτυξη, με συνεχείς ενημερώσεις που εισάγουν νέες εντολές που επεκτείνουν τις κακόβουλες δυνατότητές του, όπως η δυνατότητα λήψης συμβάντων αφής, κειμένου στην οθόνη και λεπτομέρειες σχετικά με τις εφαρμογές που εκτοξεύτηκαν από τα θύματα.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό Brokewell Mobile μεταμφιέζεται ως νόμιμες εφαρμογές
Η Brokewell μεταμφιέζεται σε νόμιμες εφαρμογές, όπως το Google Chrome, το ID Austria και το Klarna, χρησιμοποιώντας τα ακόλουθα ονόματα πακέτων:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Αυστρία)
com.brkwl.upstracking (Klarna)
Παρόμοια με άλλο πρόσφατο κακόβουλο λογισμικό Android, το Brokewell είναι έμπειρο στο να παρακάμπτει τους περιορισμούς της Google που απαγορεύουν στις δευτερεύουσες εφαρμογές να ζητούν άδειες υπηρεσίας προσβασιμότητας.
Κατά την εγκατάσταση και την πρώτη εκκίνηση, ο τραπεζικός trojan προτρέπει το θύμα να εκχωρήσει άδειες υπηρεσίας προσβασιμότητας. Μόλις αποκτηθούν, αυτά τα δικαιώματα χρησιμοποιούνται για τη χορήγηση πρόσθετων αδειών και την αυτόματη εκτέλεση διαφόρων κακόβουλων δραστηριοτήτων.
Οι δυνατότητες του Brokewell περιλαμβάνουν την εμφάνιση οθονών επικάλυψης πάνω από στοχευμένες εφαρμογές για τη συλλογή διαπιστευτηρίων χρήστη. Επιπλέον, μπορεί να εξαγάγει cookie εκκινώντας ένα WebView για τη φόρτωση νόμιμων ιστότοπων, παρεμποδίζοντας και στέλνοντας cookies περιόδου λειτουργίας σε έναν διακομιστή που ελέγχεται από κακοπροαίρετους παράγοντες.
Το Brokewell Banking Trojan μπορεί να εκτελέσει πολυάριθμες επιβλαβείς ενέργειες
Οι πρόσθετες λειτουργίες του Brokewell περιλαμβάνουν την εγγραφή ήχου, τη λήψη στιγμιότυπων οθόνης, την πρόσβαση στα αρχεία καταγραφής κλήσεων, την ανάκτηση τοποθεσίας της συσκευής, την καταχώριση εγκατεστημένων εφαρμογών, την καταγραφή όλων των συμβάντων της συσκευής, την αποστολή μηνυμάτων SMS, την έναρξη τηλεφωνικών κλήσεων, την εγκατάσταση και την απεγκατάσταση εφαρμογών, ακόμη και την απενεργοποίηση της υπηρεσίας προσβασιμότητας.
Επιπλέον, οι φορείς απειλών μπορούν να εκμεταλλευτούν τις δυνατότητες τηλεχειρισμού του κακόβουλου λογισμικού για να προβάλουν περιεχόμενο οθόνης σε πραγματικό χρόνο και να αλληλεπιδράσουν με τη συσκευή προσομοιώνοντας κλικ, ολίσθηση και αγγίγματα.
Ένας νέος ηθοποιός απειλών μπορεί να είναι υπεύθυνος για το κακόβουλο λογισμικό Brokewell Mobile
Το άτομο που πιστεύεται ότι είναι ο προγραμματιστής του Brokewell ονομάζεται Baron Samedit. Οι ερευνητές σημειώνουν ότι ο παράγοντας απειλών είναι γνωστός εδώ και τουλάχιστον δύο χρόνια για την πώληση εργαλείων που έχουν σχεδιαστεί για την επαλήθευση κλεμμένων λογαριασμών. Οι ειδικοί ανακάλυψαν επίσης ένα άλλο εργαλείο που αποδίδεται στη Samedit που ονομάζεται «Brokewell Android Loader», που φιλοξενείται σε διακομιστή Command-and-Control (C2) που χρησιμοποιείται από την Brokewell και στον οποίο έχουν πρόσβαση πολλοί εγκληματίες στον κυβερνοχώρο.
Αξίζει να σημειωθεί ότι αυτό το πρόγραμμα φόρτωσης είναι σε θέση να παρακάμψει τους περιορισμούς της Google που εφαρμόζονται στο Android 13 και σε νεότερες εκδόσεις για να αποτρέψει την κακή χρήση της Υπηρεσίας Προσβασιμότητας από πλευρικές εφαρμογές (APK).
Αυτή η παράκαμψη αποτελεί συνεχή ανησυχία από τα μέσα του 2022 και κλιμακώθηκε σημαντικά στα τέλη του 2023 με την εμφάνιση των λειτουργιών dropper-as-a-service (DaaS) που το προσφέρουν ως μέρος της υπηρεσίας τους, παράλληλα με κακόβουλο λογισμικό που ενσωματώνει αυτές τις τεχνικές στους προσαρμοσμένους φορτωτές τους.
Όπως επεξηγεί το Brokewell, τα προγράμματα φόρτωσης που αποφεύγουν τους περιορισμούς που εμποδίζουν την πρόσβαση στην Υπηρεσία Προσβασιμότητας για APK που προέρχονται από αναξιόπιστα κανάλια έχουν πλέον γίνει διαδεδομένα και ευρέως διανεμημένα στο τοπίο των απειλών στον κυβερνοχώρο.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν εργαλεία κακόβουλου λογισμικού με δυνατότητες εξαγοράς
Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι οι λειτουργίες κατάκτησης συσκευών που εμφανίζονται στο κακόβουλο λογισμικό Brokewell για το Android είναι ιδιαίτερα περιζήτητες από τους εγκληματίες του κυβερνοχώρου. Αυτές οι δυνατότητες επιτρέπουν τη διεξαγωγή απάτης απευθείας από τη συσκευή του θύματος, βοηθώντας τους δράστες να αποφύγουν τα εργαλεία ανίχνευσης και αξιολόγησης απάτης.
Αναμένεται ότι το Brokewell θα υποβληθεί σε περαιτέρω ανάπτυξη και ενδεχομένως θα διανεμηθεί σε άλλους εγκληματίες του κυβερνοχώρου μέσω υπόγειων φόρουμ ως μέρος μιας προσφοράς κακόβουλου λογισμικού ως υπηρεσία (MaaS).
Για προστασία από μολύνσεις από κακόβουλο λογισμικό Android, αποφύγετε τη λήψη εφαρμογών ή ενημερώσεων από πηγές εκτός του Google Play. Βεβαιωθείτε ότι το Google Play Protect είναι πάντα ενεργοποιημένο στη συσκευή σας για να βελτιώσετε την ασφάλεια της συσκευής.
