Złośliwe oprogramowanie mobilne Brokewell
Cyberprzestępcy wykorzystują fałszywe aktualizacje przeglądarki do dystrybucji nowo zidentyfikowanego szkodliwego oprogramowania dla systemu Android o nazwie Brokewell. Szkodnik ten stanowi doskonały przykład współczesnego szkodliwego oprogramowania bankowego, posiadającego funkcje zaprojektowane zarówno do kradzieży danych, jak i zdalnej kontroli nad urządzeniami, do których doszło. Badacze ostrzegają, że Brokewell jest w fazie aktywnego rozwoju i zawiera ciągłe aktualizacje wprowadzające nowe polecenia rozszerzające jego szkodliwe możliwości, takie jak umożliwienie przechwytywania zdarzeń dotykowych, tekstu wyświetlanego na ekranie oraz szczegółów aplikacji uruchamianych przez ofiary.
Spis treści
Złośliwe oprogramowanie mobilne Brokewell podszywa się pod legalne aplikacje
Brokewell podszywa się pod legalne aplikacje, takie jak Google Chrome, ID Austria i Klarna, używając następujących nazw pakietów:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.upstracking (Klarna)
Podobnie jak inne najnowsze złośliwe oprogramowanie dla Androida, Brokewell jest biegły w omijaniu ograniczeń Google, które zabraniają aplikacjom ładowanym z boku żądać uprawnień do usługi dostępności.
Podczas instalacji i pierwszego uruchomienia trojan bankowy prosi ofiarę o przyznanie uprawnień do usługi dostępności. Po uzyskaniu uprawnienia te służą do przyznawania dodatkowych uprawnień i automatycznego wykonywania różnych złośliwych działań.
Możliwości Brokewell obejmują wyświetlanie ekranów nakładek na docelowych aplikacjach w celu gromadzenia danych uwierzytelniających użytkowników. Dodatkowo może wyodrębniać pliki cookie, uruchamiając przeglądarkę WebView w celu załadowania legalnych witryn internetowych, przechwytując i wysyłając pliki cookie sesji na serwer kontrolowany przez źle myślących aktorów.
Trojan bankowy Brokewell może wykonywać wiele szkodliwych działań
Dodatkowe funkcjonalności Brokewell obejmują nagrywanie dźwięku, przechwytywanie zrzutów ekranu, dostęp do dzienników połączeń, odzyskiwanie lokalizacji urządzenia, wyświetlanie zainstalowanych aplikacji, rejestrowanie wszystkich zdarzeń na urządzeniu, wysyłanie wiadomości SMS, inicjowanie połączeń telefonicznych, instalowanie i odinstalowywanie aplikacji, a nawet wyłączanie usługi dostępności.
Co więcej, cyberprzestępcy mogą wykorzystywać możliwości zdalnego sterowania złośliwego oprogramowania do przeglądania zawartości ekranu w czasie rzeczywistym i interakcji z urządzeniem poprzez symulowanie kliknięć, przesunięć i dotknięć.
Za szkodliwe oprogramowanie Brokewell Mobile może być odpowiedzialny nowy podmiot zagrażający
Osoba uważana za twórcę Brokewell występuje pod pseudonimem Baron Samedit. Badacze zauważają, że ugrupowanie zagrażające było znane od co najmniej dwóch lat ze sprzedaży narzędzi służących do weryfikacji skradzionych kont. Eksperci odkryli także inne narzędzie przypisywane Samedit, zwane „Brokewell Android Loader”, hostowane na serwerze dowodzenia i kontroli (C2) używanym przez Brokewell i dostępnym dla wielu cyberprzestępców.
Warto zauważyć, że ten moduł ładujący może ominąć ograniczenia Google wprowadzone w systemie Android 13 i nowszych wersjach, aby zapobiec niewłaściwemu korzystaniu z usługi dostępności przez aplikacje ładowane z boku (APK).
To obejście stanowi ciągły problem od połowy 2022 r. i znacznie nasiliło się pod koniec 2023 r. wraz z pojawieniem się operacji typu dropper-as-a-service (DaaS) oferujących je w ramach swoich usług wraz ze złośliwym oprogramowaniem włączającym te techniki do swoich dostosowanych modułów ładujących.
Jak pokazał Brokewell, programy ładujące, które omijają ograniczenia uniemożliwiające dostęp usługi ułatwień dostępu do plików APK pochodzących z niewiarygodnych kanałów, stały się obecnie powszechne i szeroko rozpowszechnione w krajobrazie cyberzagrożeń.
Cyberprzestępcy wykorzystują narzędzia szkodliwego oprogramowania z możliwością przejęcia
Eksperci ds. bezpieczeństwa ostrzegają, że funkcje przejmowania urządzeń obecne w szkodliwym oprogramowaniu bankowym Brokewell dla systemu Android są bardzo poszukiwane przez cyberprzestępców. Funkcje te umożliwiają przeprowadzenie oszustwa bezpośrednio z urządzenia ofiary, pomagając sprawcom uniknąć narzędzi do wykrywania i oceny oszustw.
Oczekuje się, że Brokewell będzie dalej rozwijany i potencjalnie będzie rozpowszechniany wśród innych cyberprzestępców za pośrednictwem nielegalnych forów w ramach oferty złośliwego oprogramowania jako usługi (MaaS).
Aby zabezpieczyć się przed infekcjami złośliwym oprogramowaniem dla Androida, nie pobieraj aplikacji ani aktualizacji ze źródeł spoza Google Play. Aby zwiększyć bezpieczeństwo urządzenia, upewnij się, że usługa Google Play Protect jest zawsze aktywna na Twoim urządzeniu.
