Brokewell Mobile Malware
Els ciberdelinqüents estan explotant actualitzacions fraudulentes del navegador per distribuir un programari maliciós per a Android recentment identificat anomenat Brokewell. Aquest programari maliciós representa un exemple potent de programari maliciós bancari contemporani, que posseeix funcionalitats dissenyades tant per al robatori de dades com per al control remot dels dispositius violats. Els investigadors adverteixen que Brokewell està en desenvolupament actiu, amb actualitzacions en curs que introdueixen noves ordres que amplien les seves capacitats malicioses, com ara permetre la captura d'esdeveniments tàctils, text a la pantalla i detalls sobre les aplicacions llançades per les víctimes.
Taula de continguts
El programari maliciós Brokewell Mobile es fa passar com a aplicacions legítimes
Brokewell es disfressa d'aplicacions legítimes, com ara Google Chrome, ID Austria i Klarna, utilitzant els noms de paquets següents:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Àustria)
com.brkwl.upstracking (Klarna)
De manera semblant a altres programes maliciosos d'Android recents, Brokewell és expert en eludir les restriccions de Google que prohibeixen que les aplicacions de càrrega lateral sol·licitin permisos de servei d'accessibilitat.
Després de la instal·lació i el primer llançament, el troià bancari demana a la víctima que concedeixi permisos de servei d'accessibilitat. Un cop obtinguts, aquests permisos s'utilitzen per concedir permisos addicionals i executar diverses activitats malicioses de manera automàtica.
Les capacitats de Brokewell inclouen la visualització de pantalles superposades a la part superior de les aplicacions orientades per recollir les credencials dels usuaris. A més, pot extreure galetes llançant una WebView per carregar llocs web legítims, interceptar i enviar galetes de sessió a un servidor controlat per actors malintencionats.
El troià Brokewell Banking pot dur a terme nombroses accions perjudicials
Les funcionalitats addicionals de Brokewell inclouen gravar àudio, capturar captures de pantalla, accedir als registres de trucades, recuperar la ubicació del dispositiu, enumerar les aplicacions instal·lades, registrar tots els esdeveniments del dispositiu, enviar missatges SMS, iniciar trucades telefòniques, instal·lar i desinstal·lar aplicacions i fins i tot desactivar el servei d'accessibilitat.
A més, els actors de les amenaces poden explotar les capacitats de control remot del programari maliciós per veure el contingut de la pantalla en temps real i interactuar amb el dispositiu simulant clics, lliscaments i tocs.
Un nou actor d’amenaça podria ser responsable del programari maliciós Brokewell Mobile
L'individu que es creu que és el desenvolupador de Brokewell s'anomena Baron Samedit. Els investigadors assenyalen que l'actor d'amenaces és conegut des de fa almenys dos anys per vendre eines dissenyades per verificar els comptes robats. Els experts també han descobert una altra eina atribuïda a Samedit anomenada "Brokewell Android Loader", allotjada en un servidor de comandament i control (C2) utilitzat per Brokewell i al qual accedeixen diversos ciberdelinqüents.
En particular, aquest carregador és capaç d'eludir les restriccions de Google implementades a Android 13 i versions posteriors per evitar l'ús indegut del servei d'accessibilitat per part d'aplicacions de càrrega lateral (APK).
Aquest bypass ha estat una preocupació constant des de mitjans de 2022 i va augmentar significativament a finals de 2023 amb l'aparició d'operacions de dropper-as-a-service (DaaS) que l'ofereixen com a part del seu servei, juntament amb programari maliciós que incorpora aquestes tècniques als seus carregadors personalitzats.
Tal com ho mostra Brokewell, els carregadors que eluden les restriccions que impedeixen l'accés al servei d'accessibilitat per a APK procedents de canals poc fiables s'han convertit en prevalents i àmpliament distribuïts en el panorama de les amenaces cibernètiques.
Els ciberdelinqüents utilitzen eines de programari maliciós amb capacitats de presa de possessió
Els experts en seguretat adverteixen que les funcionalitats de presa de possessió del dispositiu que es veuen al programari maliciós bancari Brokewell per a Android són molt buscades pels ciberdelinqüents. Aquestes capacitats permeten que el frau es realitzi directament des del dispositiu de la víctima, ajudant els autors a evadir les eines de detecció i avaluació del frau.
Es preveu que Brokewell seguirà desenvolupant-se i possiblement es distribueixi a altres cibercriminals a través de fòrums subterranis com a part d'una oferta de programari maliciós com a servei (MaaS).
Per protegir-vos de les infeccions de programari maliciós d'Android, absteniu-vos de baixar aplicacions o actualitzacions de fonts fora de Google Play. Assegureu-vos que Google Play Protect estigui activat al vostre dispositiu en tot moment per millorar la seguretat del dispositiu.
