תוכנה זדונית לנייד של Brokewell

פושעי סייבר מנצלים עדכוני דפדפן מזויפים כדי להפיץ תוכנה זדונית אנדרואיד שזוהתה לאחרונה בשם Brokewell. תוכנה זדונית זו מייצגת דוגמה חזקה לתוכנות זדוניות בנקאיות עכשוויות, בעלת פונקציונליות המיועדות הן לגניבת נתונים והן לשליטה מרחוק על מכשירים שנפרצו. חוקרים מזהירים כי ברוקוול עוברת פיתוח פעיל, עם עדכונים מתמשכים המציגים פקודות חדשות המרחיבות את היכולות הזדוניות שלה, כמו מתן אפשרות לכידת אירועי מגע, טקסט על המסך ופרטים על היישומים שהושקו על ידי הקורבנות.

תוכנת זדונית ניידת של Brokewell מתחזה ליישומים לגיטימיים

Brokewell מסווה את עצמו ליישומים לגיטימיים, כגון Google Chrome, ID Austria ו-Klarna, תוך שימוש בשמות החבילות הבאים:

jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)

zRFxj.ieubP.lWZzwlluca (ID אוסטריה)

com.brkwl.uptracking (Klarna)

בדומה לתוכנות זדוניות אחרות של אנדרואיד אחרונות, ברוקוול מיומן בלעקוף את ההגבלות של גוגל האוסרות על יישומים עם טעינת צד לבקש הרשאות שירות נגישות.

עם ההתקנה וההשקה הראשונה, הטרויאני הבנקאי מבקש מהקורבן להעניק הרשאות שירות נגישות. לאחר שהושגו, הרשאות אלו משמשות להענקת הרשאות נוספות ולביצוע פעילויות זדוניות שונות באופן אוטומטי.

היכולות של Brokewell כוללות הצגת מסכי שכבת-על על גבי יישומים ממוקדים כדי לאסוף את אישורי המשתמש. בנוסף, הוא יכול לחלץ קובצי Cookie על ידי השקת WebView לטעינת אתרים לגיטימיים, יירוט ושליחת קובצי Cookie לשרת הנשלט על ידי שחקנים רעים.

הטרויאני בבנקאות ברוקוול יכול לבצע פעולות מזיקות רבות

פונקציות נוספות של Brokewell כוללות הקלטת אודיו, לכידת צילומי מסך, גישה ליומני שיחות, אחזור מיקום המכשיר, רישום אפליקציות מותקנות, רישום כל אירועי המכשיר, שליחת הודעות SMS, הפעלת שיחות טלפון, התקנה והסרה של אפליקציות ואפילו השבתת שירות הנגישות.

יתרה מכך, גורמי איומים יכולים לנצל את יכולות השלט הרחוק של התוכנה הזדונית כדי לצפות בתוכן מסך בזמן אמת ולקיים אינטראקציה עם המכשיר על ידי הדמיית לחיצות, החלקות ונגיעות.

שחקן איום חדש עשוי להיות אחראי לתוכנה הזדונית הניידת של Brokewell

האדם שנחשב למפתח של ברוקוול מכונה ברון סאמדיט. החוקרים מציינים ששחקן האיום ידוע כבר שנתיים לפחות במכירת כלים שנועדו לאמת חשבונות גנובים. המומחים חשפו גם כלי נוסף המיוחס ל-Samedit בשם 'Brokewell Android Loader', המתארח בשרת Command-and-Control (C2) המשמש את Brokewell וניגש אליו מספר פושעי סייבר.

יש לציין, מטעין זה מסוגל לעקוף את ההגבלות של גוגל המיושמות ב-Android 13 ואילך, כדי למנוע שימוש לרעה בשירות הנגישות על ידי אפליקציות נטענות (APK).

מעקף זה מהווה דאגה מתמשכת מאז אמצע 2022 והסלים באופן משמעותי בסוף 2023 עם הופעתן של פעולות טפטפת כשירות (DaaS) המציעות אותו כחלק מהשירות שלהם, לצד תוכנות זדוניות המשלבות את הטכניקות הללו במעמיסים המותאמים אישית שלהם.

כפי שהדגימה ברוקוול, מעמיסים שמתחמקים ממגבלות המונעות גישה לשירותי נגישות עבור חבילות APK שמקורן בערוצים לא אמינים, הפכו כעת לנפוצים ומופצים באופן נרחב בנוף איומי הסייבר.

פושעי סייבר משתמשים בכלי תוכנה זדונית עם יכולות השתלטות

מומחי אבטחה מזהירים כי פונקציונליות ההשתלטות על המכשיר הנראית בתוכנה הזדונית הבנקאית של Brokewell עבור אנדרואיד מבוקשות מאוד על ידי פושעי סייבר. יכולות אלו מאפשרות לבצע הונאה ישירות ממכשירו של הקורבן, ומסייעות לעבריינים להתחמק מכלי גילוי והערכה של הונאה.

הצפי הוא שברוקוול יעבור פיתוח נוסף ואולי יופץ לפושעי סייבר אחרים דרך פורומים מחתרתיים כחלק מהצעה של תוכנות זדוניות כשירות (MaaS).

כדי להגן מפני זיהומים של תוכנות זדוניות ב-Android, הימנע מהורדת אפליקציות או עדכונים ממקורות מחוץ ל-Google Play. ודא ש-Google Play Protect מופעל במכשיר שלך בכל עת כדי לשפר את אבטחת המכשיר.