Brokewell Mobile Malware
Pinagsasamantalahan ng mga cybercriminal ang mga mapanlinlang na update sa browser upang ipamahagi ang isang bagong natukoy na Android malware na pinangalanang Brokewell. Ang malware na ito ay kumakatawan sa isang makapangyarihang halimbawa ng kontemporaryong banking malware, na nagtataglay ng mga functionality na idinisenyo para sa parehong pagnanakaw ng data at remote control ng mga nalabag na device. Nagbabala ang mga mananaliksik na ang Brokewell ay sumasailalim sa aktibong pag-unlad, na may mga patuloy na pag-update na nagpapakilala ng mga bagong command na nagpapalawak sa mga nakakahamak na kakayahan nito, tulad ng pagpapagana sa pagkuha ng mga touch event, on-screen na text, at mga detalye tungkol sa mga application na inilunsad ng mga biktima.
Talaan ng mga Nilalaman
Ang Brokewell Mobile Malware ay Nagkukunwari bilang Mga Lehitimong Aplikasyon
Ipinakilala ni Brokewell ang sarili bilang mga lehitimong application, gaya ng Google Chrome, ID Austria at Klarna, gamit ang mga sumusunod na pangalan ng package:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.upstracking (Klarna)
Katulad ng iba pang kamakailang Android malware, ang Brokewell ay bihasa sa pag-bypass sa mga paghihigpit ng Google na nagbabawal sa mga naka-sideload na application na humiling ng mga pahintulot sa serbisyo ng accessibility.
Sa pag-install at unang paglulunsad, ang banking trojan ay nag-uudyok sa biktima na magbigay ng mga pahintulot sa serbisyo ng accessibility. Kapag nakuha na, ang mga pahintulot na ito ay ginagamit upang magbigay ng mga karagdagang pahintulot at awtomatikong magsagawa ng iba't ibang malisyosong aktibidad.
Kasama sa mga kakayahan ng Brokewell ang pagpapakita ng mga overlay na screen sa itaas ng mga naka-target na application upang makuha ang mga kredensyal ng user. Bukod pa rito, maaari itong mag-extract ng cookies sa pamamagitan ng paglulunsad ng WebView para mag-load ng mga lehitimong website, pagharang at pagpapadala ng cookies ng session sa isang server na kinokontrol ng mga walang isip na aktor.
Ang Brokewell Banking Trojan ay Maaaring Magsagawa ng Maraming Mapanganib na Aksyon
Ang mga karagdagang pag-andar ng Brokewell ay sumasaklaw sa pagre-record ng audio, pagkuha ng mga screenshot, pag-access sa mga log ng tawag, pagkuha ng lokasyon ng device, paglilista ng mga naka-install na app, pag-log sa lahat ng kaganapan sa device, pagpapadala ng mga mensaheng SMS, pagsisimula ng mga tawag sa telepono, pag-install at pag-uninstall ng mga app at kahit na hindi pagpapagana ng serbisyo sa pagiging naa-access.
Higit pa rito, maaaring samantalahin ng mga banta ng aktor ang mga remote control na kakayahan ng malware upang tingnan ang real-time na nilalaman ng screen at makipag-ugnayan sa device sa pamamagitan ng pagtulad sa mga pag-click, pag-swipe at pagpindot.
Isang Bagong Threat Actor ang Maaaring Responsable para sa Brokewell Mobile Malware
Ang indibidwal na pinaniniwalaang nag-develop ng Brokewell ay may alyas na Baron Samedit. Pansinin ng mga mananaliksik na ang aktor ng banta ay kilala nang hindi bababa sa dalawang taon para sa pagbebenta ng mga tool na idinisenyo upang i-verify ang mga ninakaw na account. Natuklasan din ng mga eksperto ang isa pang tool na nauugnay sa Samedit na tinatawag na 'Brokewell Android Loader,' na naka-host sa isang Command-and-Control (C2) server na ginagamit ng Brokewell at na-access ng maraming cybercriminals.
Kapansin-pansin, ang loader na ito ay may kakayahang iwasan ang mga paghihigpit ng Google na ipinatupad sa Android 13 at mga mas bagong bersyon upang maiwasan ang maling paggamit ng Serbisyo ng Accessibility ng mga sideloaded na app (APK).
Ang bypass na ito ay isang patuloy na alalahanin mula noong kalagitnaan ng 2022 at tumaas nang malaki noong huling bahagi ng 2023 sa paglitaw ng mga pagpapatakbo ng dropper-as-a-service (DaaS) na nag-aalok nito bilang bahagi ng kanilang serbisyo, kasama ng malware na isinasama ang mga diskarteng ito sa kanilang mga customized na loader.
Gaya ng ipinakita ng Brokewell, ang mga loader na umiiwas sa mga paghihigpit na pumipigil sa pag-access sa Serbisyo ng Accessibility para sa mga APK na nagmula sa mga hindi mapagkakatiwalaang channel ay naging laganap na at malawak na ipinamahagi sa landscape ng cyber threat.
Gumagamit ang Mga Cybercriminal ng Mga Malware Tool na may Mga Kakayahang Takeover
Nag-iingat ang mga eksperto sa seguridad na ang mga functionality ng pagkuha ng device na nakikita sa Brokewell banking malware para sa Android ay lubos na hinahangad ng mga cybercriminal. Ang mga kakayahang ito ay nagbibigay-daan sa panloloko na maisagawa nang direkta mula sa device ng biktima, na tumutulong sa mga may kasalanan na maiwasan ang pagtuklas ng panloloko at mga tool sa pagtatasa.
Inaasahan na ang Brokewell ay sasailalim sa karagdagang pag-unlad at posibleng maipamahagi sa iba pang mga cybercriminal sa pamamagitan ng mga underground na forum bilang bahagi ng isang handog na malware-as-a-service (MaaS).
Upang maprotektahan laban sa mga impeksyon ng Android malware, iwasang mag-download ng mga application o update mula sa mga source sa labas ng Google Play. Tiyaking naka-activate ang Google Play Protect sa iyong device sa lahat ng oras upang mapahusay ang seguridad ng device.
