A Brokewell Mobile malware hamis Chrome-frissítéseken keresztül terjed
Hamisított böngészőfrissítéseket alkalmaznak a Brokewell néven ismert új Android-malware terjesztésére, amely korábban nem volt dokumentálva.
A biztonsági kutatók 2024 áprilisában közzétett elemzése szerint a Brokewell egy modern banki kártevő, amely adatlopási és távvezérlési képességekkel is rendelkezik.
A rosszindulatú program aktívan fejlődik, a folyamatos fejlesztés során új parancsokat vezetnek be az érintési események, a képernyőn megjelenő szövegek és az elindított alkalmazások rögzítésére.
A Brokewell különféle alkalmazásoknak álcázza magát, köztük a Google Chrome-nak, az ID Austria-nak és a Klarnának:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Ausztria)
- com.brkwl.upstracking (Klarna)
Más újabb androidos rosszindulatú programokhoz hasonlóan a Brokewell is megkerülheti a Google korlátozásait az olyan oldalt letöltött alkalmazásokra vonatkozóan, amelyek megpróbálnak kisegítő lehetőségeket kérni.
A telepítést és elindítást követően a banki trójai felkéri az áldozatot, hogy adjon hozzáférési szolgáltatási engedélyeket, lehetővé téve az egyéb engedélyek automatikus megadását rosszindulatú tevékenységek végrehajtásához.
A Brokewell változatos rosszindulatú eszközkészlettel érkezik
A Brokewell képességei közé tartozik a fedőképernyők megjelenítése a felhasználói hitelesítő adatok ellopása érdekében, a munkamenet-cookie-k lehallgatása, a hangfelvétel, a képernyőképek készítése, a hívásnaplók és az eszköz helyének elérése, a telepített alkalmazások listázása, SMS-ek küldése, telefonhívások, alkalmazások telepítése/eltávolítása, valamint a kisegítő szolgáltatások letiltása.
A rosszindulatú program lehetővé teszi a fenyegetést okozó szereplők számára, hogy távolról megtekintsék a valós idejű képernyő tartalmát, és kattintással, csúsztatással és érintéssel interakcióba léphessenek az eszközzel.
A Brokewellt egy „Baron Samedit Marais” álnevet használó fejlesztőnek tulajdonítják, aki a „Brokewell Cyber Labs” projektet irányítja. A projekt tartalmaz egy, a Giteán üzemeltetett Android Loader-t, amelyet úgy terveztek, hogy megkerülje az egyes Android-verziókra vonatkozó akadálymentesítési engedélyekre vonatkozó korlátozásokat, és telepítse a trójai implantátumot.
A betöltő egy cseppentőre emlékeztető alkalmazásokat hoz létre a "com.brkwl.apkstore" alapértelmezett csomagnévvel, amely potenciálisan elérhető más fenyegetést jelentő szereplők számára, akik ki akarják kerülni az Android biztonsági intézkedéseit.