A Brokewell Mobile malware hamis Chrome-frissítéseken keresztül terjed

Hamisított böngészőfrissítéseket alkalmaznak a Brokewell néven ismert új Android-malware terjesztésére, amely korábban nem volt dokumentálva.

A biztonsági kutatók 2024 áprilisában közzétett elemzése szerint a Brokewell egy modern banki kártevő, amely adatlopási és távvezérlési képességekkel is rendelkezik.

A rosszindulatú program aktívan fejlődik, a folyamatos fejlesztés során új parancsokat vezetnek be az érintési események, a képernyőn megjelenő szövegek és az elindított alkalmazások rögzítésére.

A Brokewell különféle alkalmazásoknak álcázza magát, köztük a Google Chrome-nak, az ID Austria-nak és a Klarnának:

• jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
• zRFxj.ieubP.lWZzwlluca (ID Ausztria)
• com.brkwl.upstracking (Klarna)

Más újabb androidos rosszindulatú programokhoz hasonlóan a Brokewell is megkerülheti a Google korlátozásait az olyan oldalt letöltött alkalmazásokra vonatkozóan, amelyek megpróbálnak kisegítő lehetőségeket kérni.

A telepítést és elindítást követően a banki trójai felkéri az áldozatot, hogy adjon hozzáférési szolgáltatási engedélyeket, lehetővé téve az egyéb engedélyek automatikus megadását rosszindulatú tevékenységek végrehajtásához.

A Brokewell változatos rosszindulatú eszközkészlettel érkezik

A Brokewell képességei közé tartozik a fedőképernyők megjelenítése a felhasználói hitelesítő adatok ellopása érdekében, a munkamenet-cookie-k lehallgatása, a hangfelvétel, a képernyőképek készítése, a hívásnaplók és az eszköz helyének elérése, a telepített alkalmazások listázása, SMS-ek küldése, telefonhívások, alkalmazások telepítése/eltávolítása, valamint a kisegítő szolgáltatások letiltása.

A rosszindulatú program lehetővé teszi a fenyegetést okozó szereplők számára, hogy távolról megtekintsék a valós idejű képernyő tartalmát, és kattintással, csúsztatással és érintéssel interakcióba léphessenek az eszközzel.

A Brokewellt egy „Baron Samedit Marais” álnevet használó fejlesztőnek tulajdonítják, aki a „Brokewell Cyber Labs” projektet irányítja. A projekt tartalmaz egy, a Giteán üzemeltetett Android Loader-t, amelyet úgy terveztek, hogy megkerülje az egyes Android-verziókra vonatkozó akadálymentesítési engedélyekre vonatkozó korlátozásokat, és telepítse a trójai implantátumot.

A betöltő egy cseppentőre emlékeztető alkalmazásokat hoz létre a "com.brkwl.apkstore" alapértelmezett csomagnévvel, amely potenciálisan elérhető más fenyegetést jelentő szereplők számára, akik ki akarják kerülni az Android biztonsági intézkedéseit.