O malware móvel Brokewell se espalha por meio de atualizações falsas do Chrome
Atualizações falsificadas de navegadores estão sendo empregadas para distribuir um novo malware Android conhecido como Brokewell, que anteriormente não estava documentado.
De acordo com uma análise realizada por pesquisadores de segurança publicada em abril de 2024, o Brokewell é um malware bancário contemporâneo que possui recursos de roubo de dados e de controle remoto.
O malware está evoluindo ativamente, com desenvolvimento contínuo introduzindo novos comandos para capturar eventos de toque, texto na tela e aplicativos iniciados.
Brokewell se disfarça de vários aplicativos, incluindo Google Chrome, ID Austria e Klarna:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Áustria)
- com.brkwl.upstracking (Klarna)
Como outros malwares recentes para Android, o Brokewell pode contornar as restrições do Google sobre aplicativos transferidos por sideload que tentam solicitar permissões de serviço de acessibilidade.
Uma vez instalado e iniciado, o trojan bancário solicita à vítima que conceda permissões de serviço de acessibilidade, permitindo a concessão automática de outras permissões para a realização de atividades maliciosas.
Brokewell vem com diversas ferramentas maliciosas
Os recursos do Brokewell incluem a exibição de telas sobrepostas para roubar credenciais do usuário, interceptar cookies de sessão, gravar áudio, fazer capturas de tela, acessar registros de chamadas e localização do dispositivo, listar aplicativos instalados, enviar mensagens SMS, fazer chamadas telefônicas, instalar/desinstalar aplicativos e desativar serviços de acessibilidade.
O malware permite que os agentes da ameaça visualizem remotamente o conteúdo da tela em tempo real e interajam com o dispositivo por meio de cliques, deslizamentos e toques.
Brokewell é atribuído a um desenvolvedor que usa o pseudônimo "Baron Samedit Marais" que gerencia o projeto "Brokewell Cyber Labs". O projeto inclui um Android Loader hospedado no Gitea, projetado para contornar restrições de permissão de acessibilidade em versões específicas do Android e implantar o implante de trojan.
O carregador, semelhante a um conta-gotas, gera aplicativos com um nome de pacote padrão “com.brkwl.apkstore”, potencialmente acessível a outros agentes de ameaças que buscam escapar das medidas de segurança do Android.