Brokewell Mobile Malware
Kibernetski kriminalci izkoriščajo goljufive posodobitve brskalnika za distribucijo na novo identificirane zlonamerne programske opreme za Android z imenom Brokewell. Ta zlonamerna programska oprema predstavlja močan primer sodobne bančne zlonamerne programske opreme, ki ima funkcionalnosti, zasnovane tako za krajo podatkov kot za daljinsko upravljanje vlomljenih naprav. Raziskovalci opozarjajo, da je Brokewell v aktivnem razvoju, s tekočimi posodobitvami, ki uvajajo nove ukaze, ki razširjajo njegove zlonamerne zmogljivosti, kot je omogočanje zajemanja dogodkov na dotik, besedila na zaslonu in podrobnosti o aplikacijah, ki so jih zagnale žrtve.
Kazalo
Mobilna zlonamerna programska oprema Brokewell se predstavlja kot zakonite aplikacije
Brokewell se prikriva kot zakonite aplikacije, kot so Google Chrome, ID Austria in Klarna, z uporabo naslednjih imen paketov:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Avstrija)
com.brkwl.upstracking (Klarna)
Podobno kot druga nedavna zlonamerna programska oprema za Android, je Brokewell spreten v izogibanju Googlovim omejitvam, ki prepovedujejo stransko naloženim aplikacijam zahtevati dovoljenja storitev dostopnosti.
Ob namestitvi in prvem zagonu bančni trojanec žrtev pozove, naj dodeli dovoljenja storitve dostopnosti. Ko so ta dovoljenja pridobljena, se uporabijo za dodelitev dodatnih dovoljenj in samodejno izvajanje različnih zlonamernih dejavnosti.
Brokewellove zmogljivosti vključujejo prikaz prekrivnih zaslonov na ciljnih aplikacijah za zbiranje poverilnic uporabnika. Poleg tega lahko izvleče piškotke tako, da zažene WebView za nalaganje zakonitih spletnih mest, prestreže in pošlje piškotke seje na strežnik, ki ga nadzirajo slaboumni akterji.
Trojanec Brokewell Banking lahko izvede številna škodljiva dejanja
Dodatne funkcije Brokewella vključujejo snemanje zvoka, zajem posnetkov zaslona, dostop do dnevnikov klicev, pridobivanje lokacije naprave, seznam nameščenih aplikacij, beleženje vseh dogodkov v napravi, pošiljanje sporočil SMS, sprožitev telefonskih klicev, namestitev in odstranitev aplikacij in celo onemogočanje storitve dostopnosti.
Poleg tega lahko akterji groženj izkoristijo zmožnosti zlonamerne programske opreme za daljinsko upravljanje za ogled vsebine zaslona v realnem času in interakcijo z napravo s simulacijo klikov, potegov in dotikov.
Za zlonamerno programsko opremo Brokewell Mobile je morda odgovoren nov akter grožnje
Posameznik, za katerega se verjame, da je razvijalec Brokewella, se imenuje Baron Samedit. Raziskovalci ugotavljajo, da je akter grožnje vsaj dve leti znan po prodaji orodij za preverjanje ukradenih računov. Strokovnjaki so odkrili tudi drugo orodje, ki ga pripisujejo Sameditu, imenovano »Brokewell Android Loader«, ki gostuje na strežniku Command-and-Control (C2), ki ga uporablja Brokewell in do katerega dostopa več kiberkriminalcev.
Predvsem je ta nakladalnik sposoben zaobiti Googlove omejitve, uveljavljene v Androidu 13 in novejših različicah, da prepreči zlorabo storitve dostopnosti s stransko naloženimi aplikacijami (APK-ji).
Ta obvod je stalna skrb od sredine leta 2022 in se je znatno stopnjeval konec leta 2023 s pojavom operacij dropper-as-a-service (DaaS), ki jo ponujajo kot del svoje storitve, poleg zlonamerne programske opreme, ki te tehnike vključuje v svoje prilagojene nalagalnike.
Kot je ponazoril Brokewell, so nalagalniki, ki se izognejo omejitvam, ki preprečujejo dostop do storitev dostopnosti za APK-je, pridobljene iz nezanesljivih kanalov, zdaj prevladujoči in široko razširjeni v okolju kibernetskih groženj.
Kibernetski kriminalci uporabljajo orodja za zlonamerno programsko opremo z zmožnostmi prevzema
Varnostni strokovnjaki opozarjajo, da kiberkriminalci zelo iščejo funkcije prevzema naprav, ki jih opazimo v bančni zlonamerni programski opremi Brokewell za Android. Te zmogljivosti omogočajo, da se goljufije izvajajo neposredno iz naprave žrtve, kar pomaga storilcem, da se izognejo orodjem za odkrivanje in ocenjevanje goljufij.
Pričakuje se, da bo Brokewell podvržen nadaljnjemu razvoju in potencialno razdeljen drugim kiberkriminalcem prek podzemnih forumov kot del ponudbe zlonamerne programske opreme kot storitve (MaaS).
Za zaščito pred okužbami z zlonamerno programsko opremo Android ne prenašajte aplikacij ali posodobitev iz virov zunaj Google Play. Prepričajte se, da je Google Play Protect v vaši napravi ves čas aktiviran, da povečate varnost naprave.
