Brokewell Mobile ļaunprātīga programmatūra
Kibernoziedznieki izmanto krāpnieciskus pārlūkprogrammas atjauninājumus, lai izplatītu tikko identificētu Android ļaunprogrammatūru ar nosaukumu Brokewell. Šī ļaunprogrammatūra ir spēcīgs mūsdienu banku ļaunprātīgas programmatūras piemērs, kam ir funkcijas, kas paredzētas gan datu zādzībai, gan bojātu ierīču tālvadībai. Pētnieki brīdina, ka Brokewell tiek aktīvi attīstīts, un pastāvīgi tiek veikti atjauninājumi, kas ievieš jaunas komandas, paplašinot tās ļaunprātīgās iespējas, piemēram, ļaujot uztvert pieskārienu notikumus, ekrānā redzamo tekstu un informāciju par upuru palaistajām lietojumprogrammām.
Satura rādītājs
Brokewell Mobile ļaunprogrammatūra tiek maskēta kā likumīgas lietojumprogrammas
Brokewell maskējas kā likumīgas lietojumprogrammas, piemēram, Google Chrome, ID Austria un Klarna, izmantojot šādus pakotņu nosaukumus:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austrija)
com.brkwl.upstracking (Klarna)
Līdzīgi kā cita nesenā Android ļaunprogrammatūra, Brokewell spēj apiet Google ierobežojumus, kas aizliedz blakus ielādētām lietojumprogrammām pieprasīt pieejamības pakalpojuma atļaujas.
Pēc instalēšanas un pirmās palaišanas bankas Trojas zirgs aicina upuri piešķirt pieejamības pakalpojuma atļaujas. Kad šīs atļaujas ir iegūtas, tās tiek izmantotas, lai automātiski piešķirtu papildu atļaujas un veiktu dažādas ļaunprātīgas darbības.
Brokewell iespējas ietver pārklājuma ekrānu rādīšanu virs mērķa lietojumprogrammām, lai iegūtu lietotāja akreditācijas datus. Turklāt tas var iegūt sīkfailus, palaižot WebView, lai ielādētu likumīgas vietnes, pārtvertu un nosūtot sesijas sīkfailus uz serveri, kuru kontrolē slikti domājoši dalībnieki.
Brokewell Banking Trojas zirgs var veikt daudzas kaitīgas darbības
Brokewell papildu funkcijas ietver audio ierakstīšanu, ekrānuzņēmumu uzņemšanu, piekļuvi zvanu žurnāliem, ierīces atrašanās vietas izgūšanu, instalēto lietotņu uzskaitīšanu, visu ierīces notikumu reģistrēšanu, īsziņu sūtīšanu, tālruņa zvanu sākšanu, lietotņu instalēšanu un atinstalēšanu un pat pieejamības pakalpojuma atspējošanu.
Turklāt apdraudētāji var izmantot ļaunprātīgas programmatūras tālvadības pults iespējas, lai skatītu reāllaika ekrāna saturu un mijiedarbotos ar ierīci, simulējot klikšķus, vilkšanu un pieskārienus.
Jauns draudu aktieris var būt atbildīgs par Brokewell Mobile ļaunprogrammatūru
Persona, kas tiek uzskatīta par Brokewell izstrādātāju, tiek dēvēta par baronu Sameditu. Pētnieki atzīmē, ka draudu aktieris ir bijis pazīstams jau vismaz divus gadus, pārdodot rīkus, kas paredzēti zagtu kontu pārbaudei. Eksperti ir arī atklājuši citu Samedit piedēvētu rīku ar nosaukumu “Brokewell Android Loader”, kas ir mitināts Brokewell izmantotajā Command-and-Control (C2) serverī un kuram piekļūst vairāki kibernoziedznieki.
Proti, šis ielādētājs spēj apiet Google ierobežojumus, kas ieviesti operētājsistēmā Android 13 un jaunākās versijās, lai novērstu pieejamības pakalpojuma ļaunprātīgu izmantošanu, ko veic blakusielādētas lietotnes (APK).
Šis apvedceļš ir bijis aktuāls kopš 2022. gada vidus un ievērojami saasinājās 2023. gada beigās, kad parādījās dropper-as-a-service (DaaS) operācijas, kas to piedāvā kā daļu no sava pakalpojuma, kā arī ļaunprātīga programmatūra, kas iekļauj šīs metodes savos pielāgotajos iekrāvējos.
Kā piemēru var minēt Brokewell, ielādētāji, kas izvairās no ierobežojumiem, kas neļauj piekļūt pieejamības pakalpojumam APK, kas iegūti no neuzticamiem kanāliem, tagad ir kļuvuši izplatīti un plaši izplatīti kiberdraudu vidē.
Kibernoziedznieki izmanto ļaunprātīgas programmatūras rīkus ar pārņemšanas iespējām
Drošības eksperti brīdina, ka ierīces pārņemšanas funkcijas, kas redzamas Brokewell banku ļaunprātīgajā programmā Android, ir ļoti pieprasītas kibernoziedznieku vidū. Šīs iespējas ļauj veikt krāpšanu tieši no upura ierīces, palīdzot vainīgajiem izvairīties no krāpšanas atklāšanas un novērtēšanas rīkiem.
Paredzams, ka Brokewell tiks tālāk attīstīts un, iespējams, tiks izplatīts citiem kibernoziedzniekiem pazemes forumos kā daļa no ļaunprātīgas programmatūras kā pakalpojuma (MaaS) piedāvājuma.
Lai aizsargātos pret Android ļaunprātīgu programmatūru, nelejupielādējiet lietojumprogrammas vai atjauninājumus no avotiem ārpus Google Play. Lai uzlabotu ierīces drošību, jūsu ierīcē vienmēr ir jāaktivizē Google Play Protect.
