Brokewell Mobile Malware
Tội phạm mạng đang khai thác các bản cập nhật trình duyệt gian lận để phát tán phần mềm độc hại Android mới được xác định có tên Brokewell. Phần mềm độc hại này là một ví dụ điển hình về phần mềm độc hại ngân hàng hiện đại, sở hữu các chức năng được thiết kế cho cả việc đánh cắp dữ liệu và điều khiển từ xa các thiết bị bị vi phạm. Các nhà nghiên cứu cảnh báo rằng Brokewell đang trong quá trình phát triển tích cực, với các bản cập nhật liên tục giới thiệu các lệnh mới mở rộng khả năng độc hại của nó, chẳng hạn như cho phép ghi lại các sự kiện chạm, văn bản trên màn hình và thông tin chi tiết về các ứng dụng do nạn nhân khởi chạy.
Mục lục
Phần mềm độc hại Brokewell Mobile giả dạng ứng dụng hợp pháp
Brokewell cải trang thành các ứng dụng hợp pháp, chẳng hạn như Google Chrome, ID Austria và Klarna, sử dụng các tên gói sau:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Áo)
com.brkwl.uptracking (Klarna)
Tương tự như các phần mềm độc hại Android gần đây khác, Brokewell rất giỏi trong việc vượt qua các hạn chế của Google cấm các ứng dụng đã tải sẵn yêu cầu quyền truy cập dịch vụ.
Sau khi cài đặt và khởi chạy lần đầu, trojan ngân hàng sẽ nhắc nạn nhân cấp quyền truy cập dịch vụ. Sau khi có được, các quyền này sẽ được sử dụng để cấp các quyền bổ sung và tự động thực hiện các hoạt động độc hại khác nhau.
Các khả năng của Brokewell bao gồm hiển thị màn hình lớp phủ trên các ứng dụng được nhắm mục tiêu để thu thập thông tin xác thực của người dùng. Ngoài ra, nó có thể trích xuất cookie bằng cách khởi chạy WebView để tải các trang web hợp pháp, chặn và gửi cookie phiên đến máy chủ do những kẻ xấu kiểm soát.
Trojan ngân hàng Brokewell có thể thực hiện nhiều hành động có hại
Các chức năng bổ sung của Brokewell bao gồm ghi âm, chụp ảnh màn hình, truy cập nhật ký cuộc gọi, truy xuất vị trí thiết bị, liệt kê các ứng dụng đã cài đặt, ghi nhật ký tất cả các sự kiện của thiết bị, gửi tin nhắn SMS, bắt đầu cuộc gọi điện thoại, cài đặt và gỡ cài đặt ứng dụng và thậm chí vô hiệu hóa dịch vụ trợ năng.
Hơn nữa, các tác nhân đe dọa có thể khai thác khả năng điều khiển từ xa của phần mềm độc hại để xem nội dung màn hình theo thời gian thực và tương tác với thiết bị bằng cách mô phỏng các cú nhấp chuột, vuốt và chạm.
Tác nhân đe dọa mới có thể chịu trách nhiệm về phần mềm độc hại Brokewell Mobile
Cá nhân được cho là nhà phát triển Brokewell có bí danh là Baron Samedit. Các nhà nghiên cứu lưu ý rằng kẻ đe dọa đã được biết đến ít nhất hai năm vì bán các công cụ được thiết kế để xác minh tài khoản bị đánh cắp. Các chuyên gia cũng đã phát hiện ra một công cụ khác được cho là của Samedit có tên là 'Brokewell Android Loader', được lưu trữ trên máy chủ Chỉ huy và Kiểm soát (C2) được Brokewell sử dụng và được nhiều tội phạm mạng truy cập.
Đáng chú ý, trình tải này có khả năng vượt qua các hạn chế của Google được triển khai trong Android 13 và các phiên bản mới hơn để ngăn chặn việc sử dụng sai mục đích Dịch vụ trợ năng của các ứng dụng được tải sẵn (APK).
Đường vòng này đã trở thành mối lo ngại kể từ giữa năm 2022 và leo thang đáng kể vào cuối năm 2023 với sự xuất hiện của các hoạt động nhỏ giọt dưới dạng dịch vụ (DaaS) cung cấp nó như một phần dịch vụ của họ, cùng với phần mềm độc hại kết hợp các kỹ thuật này vào trình tải tùy chỉnh của họ.
Như Brokewell đã minh họa, các trình tải trốn tránh các hạn chế ngăn chặn quyền truy cập Dịch vụ trợ năng đối với các APK có nguồn gốc từ các kênh không đáng tin cậy hiện đã trở nên phổ biến và phân bố rộng rãi trong bối cảnh mối đe dọa mạng.
Tội phạm mạng đang sử dụng các công cụ phần mềm độc hại với khả năng chiếm đoạt
Các chuyên gia bảo mật cảnh báo rằng các chức năng tiếp quản thiết bị có trong phần mềm độc hại ngân hàng Brokewell dành cho Android rất được tội phạm mạng săn lùng. Những khả năng này cho phép thực hiện gian lận trực tiếp từ thiết bị của nạn nhân, giúp thủ phạm trốn tránh các công cụ đánh giá và phát hiện gian lận.
Người ta dự đoán rằng Brokewell sẽ trải qua quá trình phát triển hơn nữa và có khả năng được phân phối cho tội phạm mạng khác thông qua các diễn đàn ngầm như một phần của dịch vụ cung cấp phần mềm độc hại dưới dạng dịch vụ (MaaS).
Để bảo vệ khỏi bị lây nhiễm phần mềm độc hại trên Android, hãy hạn chế tải xuống ứng dụng hoặc bản cập nhật từ các nguồn bên ngoài Google Play. Đảm bảo rằng Google Play Protect luôn được kích hoạt trên thiết bị của bạn để tăng cường bảo mật thiết bị.
