Brokewell Mobile 恶意软件通过虚假 Chrome 更新进行传播
伪造的浏览器更新被用来传播一种名为 Brokewell 的新型 Android 恶意软件,这种恶意软件之前并未被记录下来。
根据安全研究人员于 2024 年 4 月发布的分析,Brokewell 是一种当代银行恶意软件,具有数据窃取和远程控制功能。
该恶意软件正在积极发展,持续的开发引入了新的命令来捕获触摸事件、屏幕文本和启动的应用程序。
Brokewell 会伪装成各种应用程序,包括 Google Chrome、ID Austria 和 Klarna:
- jcwAz.EpLIq.vcAZiUGZpK (谷歌浏览器)
- zRFxj.ieubP.lWZzwlluca(ID 奥地利)
- com.brkwl.upstracking(Klarna)
与最近出现的其他 Android 恶意软件一样,Brokewell 可以规避 Google 对试图请求无障碍服务权限的侧载应用程序的限制。
一旦安装并启动,银行木马就会提示受害者授予无障碍服务权限,从而自动授予其他权限来执行恶意活动。
Brokewell 带有多种恶意工具包
Brokewell 的功能包括显示覆盖屏幕以窃取用户凭证、拦截会话 cookie、录制音频、截屏、访问通话记录和设备位置、列出已安装的应用程序、发送短信、拨打电话、安装/卸载应用程序以及禁用辅助功能服务。
该恶意软件允许威胁行为者远程查看实时屏幕内容并通过点击、滑动和触摸与设备交互。
Brokewell 的开发者是一位化名为“Baron Samedit Marais”的开发人员,他负责管理“Brokewell Cyber Labs”项目。该项目包括一个托管在 Gitea 上的 Android Loader,旨在绕过特定 Android 版本的可访问性权限限制并部署木马植入程序。
该加载程序类似于植入程序,它会生成默认包名为“com.brkwl.apkstore”的应用程序,其他试图逃避 Android 安全措施的威胁行为者可能会访问这些应用程序。