Brokewell モバイル マルウェアが偽の Chrome アップデートを通じて拡散

これまで文書化されていなかった「Brokewell」と呼ばれる新しい Android マルウェアを配布するために、偽造ブラウザ アップデートが使用されています。

2024 年 4 月に公開されたセキュリティ研究者による分析によると、Brokewell はデータ窃盗とリモート制御の両方の機能を備えた現代の銀行マルウェアです。

このマルウェアは活発に進化しており、継続的な開発により、タッチ イベント、画面上のテキスト、起動されたアプリケーションをキャプチャするための新しいコマンドが導入されています。

Brokewell は、Google Chrome、ID Austria、Klarna など、さまざまなアプリを装います。

• jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
• zRFxj.ieubP.lWZzwlluca (ID オーストリア)
• com.brkwl.upstracking (クラーナ)

最近の他の Android マルウェアと同様に、Brokewell は、アクセシビリティ サービスの権限を要求しようとするサイドロード アプリに対する Google の制限を回避できます。

インストールされ起動されると、バンキング型トロイの木馬は被害者にアクセシビリティ サービスの許可を要求し、悪意のあるアクティビティを実行するための他の許可を自動的に許可できるようにします。

Brokewell には多様な悪意あるツールキットが付属

Brokewell の機能には、オーバーレイ画面を表示してユーザーの認証情報を盗む、セッション クッキーを傍受する、音声を録音する、スクリーンショットを撮る、通話履歴やデバイスの場所にアクセスする、インストールされているアプリを一覧表示する、SMS メッセージを送信する、電話をかける、アプリをインストール/アンインストールする、アクセシビリティ サービスを無効化する、などが含まれます。

このマルウェアにより、脅威の攻撃者はリモートからリアルタイムの画面コンテンツを表示し、クリック、スワイプ、タッチを通じてデバイスを操作できるようになります。

Brokewell は、「Brokewell Cyber Labs」プロジェクトを管理する「Baron Samedit Marais」という仮名を使用する開発者によるものとされています。このプロジェクトには、Gitea でホストされている Android Loader が含まれており、特定の Android バージョンでのアクセス権限制限を回避してトロイの木馬インプラントを展開するように設計されています。

ドロッパーに似たローダーは、デフォルトのパッケージ名「com.brkwl.apkstore」を持つアプリを生成し、Android のセキュリティ対策を回避しようとする他の脅威アクターがアクセスできる可能性があります。