布羅克韋爾行動惡意軟體

網路犯罪分子正在利用詐騙瀏覽器更新來傳播新識別的名為 Brokewell 的 Android 惡意軟體。該惡意軟體是當代銀行惡意軟體的有力示例，具有專為資料竊取和遠端控制受破壞設備而設計的功能。研究人員警告說，Brokewell 正在積極開發，不斷更新引入了新命令，擴展了其惡意功能，例如能夠捕獲觸摸事件、螢幕文字以及受害者啟動的應用程式的詳細資訊。

Brokewell 行動惡意軟體偽裝成合法應用程式

Brokewell 使用以下軟體包名稱將自己偽裝成合法應用程序，例如 Google Chrome、ID Austria 和 Klarna：

jcwAz.EpLIq.vcAZiUGZpK（Google瀏覽器）

zRFxj.ieubP.lWZzwlluca（ID 奧地利）

com.brkwl.upstracking（克拉納）

與其他最近的 Android 惡意軟體類似，Brokewell 擅長繞過 Google 禁止旁加載應用程式請求輔助服務權限的限制。

安裝和首次啟動後，銀行木馬會提示受害者授予輔助服務權限。一旦獲得，這些權限將用於授予附加權限並自動執行各種惡意活動。

Brokewell 的功能包括在目標應用程式上方顯示覆蓋螢幕以取得使用者憑證。此外，它還可以透過啟動 WebView 載入合法網站、攔截會話 cookie 並將其傳送到由惡意行為者控制的伺服器來提取 cookie。

Brokewell 銀行木馬可以執行許多有害操作

Brokewell 的其他功能包括錄製音訊、擷取螢幕截圖、存取通話記錄、擷取裝置位置、列出已安裝的應用程式、記錄所有裝置事件、發送簡訊、啟動電話呼叫、安裝和卸載應用程序，甚至停用輔助服務。

此外，威脅行為者可以利用惡意軟體的遠端控制功能來查看即時螢幕內容，並透過模擬點擊、滑動和觸控來與裝置互動。

一個新的威脅參與者可能對 Brokewell 行動惡意軟體負責

據信是《Brokewell》開發者的人化名 Baron Samedit。研究人員指出，威脅行為者至少兩年來因銷售旨在驗證被盜帳戶的工具而聞名。專家們還發現了 Samedit 的另一個工具，名為“Brokewell Android Loader”，該工具託管在 Brokewell 使用的命令與控制 (C2) 伺服器上，並被多個網路犯罪分子存取。

值得注意的是，該載入程式能夠繞過 Google 在 Android 13 及更高版本中實施的限制，以防止旁加載應用程式 (APK) 濫用輔助服務。

自2022 年中期以來，這種繞過一直是一個令人擔憂的問題，並在2023 年末隨著滴管即服務(DaaS) 操作的出現而顯著升級，將其作為服務的一部分，同時惡意軟體將這些技術整合到其客製化的載入程式中。

正如 Brokewell 所舉的例子，逃避來自不可靠管道的 APK 的輔助服務存取限制的載入程式現已在網路威脅領域變得普遍並廣泛分佈。

網路犯罪分子正在利用具有接管能力的惡意軟體工具

安全專家警告說，Android 版 Brokewell 銀行惡意軟體中的裝置接管功能受到網路犯罪分子的高度追捧。這些功能使詐欺能夠直接從受害者的裝置進行，幫助犯罪者逃避詐欺偵測和評估工具。

預計 Brokewell 將進一步開發，並可能作為惡意軟體即服務 (MaaS) 產品的一部分透過地下論壇分發給其他網路犯罪分子。

為了防止 Android 惡意軟體感染，請不要從 Google Play 以外的來源下載應用程式或更新。確保您的裝置上始終啟動 Google Play Protect，以增強裝置安全性。