Malware mobile Brokewell
I criminali informatici stanno sfruttando gli aggiornamenti fraudolenti del browser per distribuire un malware Android recentemente identificato denominato Brokewell. Questo malware rappresenta un potente esempio di malware bancario contemporaneo, poiché possiede funzionalità progettate sia per il furto di dati che per il controllo remoto dei dispositivi violati. I ricercatori avvertono che Brokewell è in fase di sviluppo attivo, con aggiornamenti continui che introducono nuovi comandi che espandono le sue capacità dannose, come consentire l'acquisizione di eventi touch, testo sullo schermo e dettagli sulle applicazioni lanciate dalle vittime.
Sommario
Il malware Brokewell Mobile si maschera da applicazioni legittime
Brokewell si maschera da applicazioni legittime, come Google Chrome, ID Austria e Klarna, utilizzando i seguenti nomi di pacchetto:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.upstracking (Klarna)
Similmente ad altri recenti malware Android, Brokewell è abile nell'aggirare le restrizioni di Google che vietano alle applicazioni trasferite lateralmente di richiedere autorizzazioni per i servizi di accessibilità.
Al momento dell'installazione e del primo avvio, il trojan bancario chiede alla vittima di concedere le autorizzazioni per il servizio di accessibilità. Una volta ottenute, queste autorizzazioni vengono utilizzate per concedere autorizzazioni aggiuntive ed eseguire automaticamente varie attività dannose.
Le funzionalità di Brokewell includono la visualizzazione di schermate sovrapposte sopra le applicazioni mirate per raccogliere le credenziali dell'utente. Inoltre, può estrarre cookie avviando un WebView per caricare siti Web legittimi, intercettando e inviando cookie di sessione a un server controllato da soggetti malintenzionati.
Il trojan bancario Brokewell può eseguire numerose azioni dannose
Le funzionalità aggiuntive di Brokewell comprendono la registrazione di audio, l'acquisizione di schermate, l'accesso ai registri delle chiamate, il recupero della posizione del dispositivo, l'elenco delle app installate, la registrazione di tutti gli eventi del dispositivo, l'invio di messaggi SMS, l'avvio di telefonate, l'installazione e la disinstallazione di app e persino la disattivazione del servizio di accessibilità.
Inoltre, gli autori delle minacce possono sfruttare le capacità di controllo remoto del malware per visualizzare il contenuto dello schermo in tempo reale e interagire con il dispositivo simulando clic, sfioramenti e tocchi.
Un nuovo attore della minaccia potrebbe essere responsabile del malware Brokewell Mobile
L'individuo ritenuto essere lo sviluppatore di Brokewell è conosciuto con lo pseudonimo di Baron Samedit. I ricercatori sottolineano che l'autore della minaccia è noto da almeno due anni per la vendita di strumenti progettati per verificare gli account rubati. Gli esperti hanno anche scoperto un altro strumento attribuito a Samedit chiamato "Brokewell Android Loader", ospitato su un server Command-and-Control (C2) utilizzato da Brokewell e a cui accedono più criminali informatici.
In particolare, questo caricatore è in grado di eludere le restrizioni di Google implementate in Android 13 e versioni successive per impedire l'uso improprio del servizio di accessibilità da parte delle app trasferite lateralmente (APK).
Questo bypass è stato una preoccupazione costante dalla metà del 2022 ed è aumentato in modo significativo alla fine del 2023 con l’emergere di operazioni dropper-as-a-service (DaaS) che lo offrono come parte del loro servizio, insieme al malware che incorpora queste tecniche nei loro caricatori personalizzati.
Come esemplificato da Brokewell, i caricatori che eludono le restrizioni che impediscono l’accesso al servizio di accessibilità per gli APK provenienti da canali inaffidabili sono ormai diventati prevalenti e ampiamente distribuiti nel panorama delle minacce informatiche.
I criminali informatici utilizzano strumenti malware con funzionalità di takeover
Gli esperti di sicurezza avvertono che le funzionalità di acquisizione dei dispositivi riscontrate nel malware bancario Brokewell per Android sono molto ricercate dai criminali informatici. Queste funzionalità consentono di compiere frodi direttamente dal dispositivo della vittima, aiutando gli autori dei reati a eludere gli strumenti di rilevamento e valutazione delle frodi.
Si prevede che Brokewell sarà sottoposto a ulteriore sviluppo e potenzialmente distribuito ad altri criminali informatici attraverso forum clandestini come parte di un'offerta di malware-as-a-service (MaaS).
Per proteggerti dalle infezioni da malware Android, astieniti dal scaricare applicazioni o aggiornamenti da fonti esterne a Google Play. Assicurati che Google Play Protect sia sempre attivato sul tuo dispositivo per migliorare la sicurezza del dispositivo.
