Το Brokewell Mobile Malware εξαπλώνεται μέσω ψεύτικων ενημερώσεων Chrome

Χρησιμοποιούνται πλαστές ενημερώσεις προγράμματος περιήγησης για τη διανομή ενός νέου κακόβουλου λογισμικού Android, γνωστό ως Brokewell, το οποίο προηγουμένως δεν ήταν τεκμηριωμένο.

Σύμφωνα με μια ανάλυση ερευνητών ασφαλείας που δημοσιεύθηκε τον Απρίλιο του 2024, το Brokewell είναι ένα σύγχρονο τραπεζικό κακόβουλο λογισμικό που διαθέτει δυνατότητες κλοπής δεδομένων και τηλεχειρισμού.

Το κακόβουλο λογισμικό εξελίσσεται ενεργά, με τη συνεχή ανάπτυξη να εισάγει νέες εντολές για την καταγραφή συμβάντων αφής, κειμένου στην οθόνη και εφαρμογών που εκτοξεύτηκαν.

Η Brokewell μεταμφιέζεται σε διάφορες εφαρμογές, συμπεριλαμβανομένων των Google Chrome, ID Austria και Klarna:

• jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
• zRFxj.ieubP.lWZzwlluca (ID Αυστρία)
• com.brkwl.upstracking (Klarna)

Όπως και άλλο πρόσφατο κακόβουλο λογισμικό Android, το Brokewell μπορεί να παρακάμψει τους περιορισμούς της Google για εφαρμογές που έχουν πλευρική φόρτωση που προσπαθούν να ζητήσουν άδειες υπηρεσίας προσβασιμότητας.

Μόλις εγκατασταθεί και εκκινηθεί, ο τραπεζικός trojan προτρέπει το θύμα να εκχωρήσει δικαιώματα υπηρεσίας προσβασιμότητας, επιτρέποντας την αυτόματη χορήγηση άλλων αδειών για την εκτέλεση κακόβουλων δραστηριοτήτων.

Το Brokewell συνοδεύεται από διάφορα κακόβουλα εργαλεία

Οι δυνατότητες του Brokewell περιλαμβάνουν την εμφάνιση οθονών επικάλυψης για την κλοπή διαπιστευτηρίων χρήστη, την παρακολούθηση cookie συνεδρίας, την εγγραφή ήχου, τη λήψη στιγμιότυπων οθόνης, την πρόσβαση στα αρχεία καταγραφής κλήσεων και τη θέση της συσκευής, την καταχώριση εγκατεστημένων εφαρμογών, την αποστολή μηνυμάτων SMS, την πραγματοποίηση τηλεφωνικών κλήσεων, την εγκατάσταση/απεγκατάσταση εφαρμογών και την απενεργοποίηση των υπηρεσιών προσβασιμότητας.

Το κακόβουλο λογισμικό επιτρέπει στους φορείς απειλών να βλέπουν εξ αποστάσεως περιεχόμενο οθόνης σε πραγματικό χρόνο και να αλληλεπιδρούν με τη συσκευή μέσω κλικ, ολισθήσεων και αγγίγματος.

Ο Brokewell αποδίδεται σε έναν προγραμματιστή που χρησιμοποιεί το ψευδώνυμο "Baron Samedit Marais" που διαχειρίζεται το έργο "Brokewell Cyber Labs". Το έργο περιλαμβάνει ένα Android Loader που φιλοξενείται στο Gitea, σχεδιασμένο να παρακάμπτει τους περιορισμούς αδειών προσβασιμότητας σε συγκεκριμένες εκδόσεις Android και να αναπτύσσει το εμφύτευμα trojan.

Το πρόγραμμα φόρτωσης, που μοιάζει με σταγονόμετρο, δημιουργεί εφαρμογές με προεπιλεγμένο όνομα πακέτου "com.brkwl.apkstore", δυνητικά προσβάσιμο σε άλλους παράγοντες απειλών που επιδιώκουν να αποφύγουν τα μέτρα ασφαλείας του Android.