Złośliwe oprogramowanie Brokewell Mobile rozprzestrzenia się poprzez fałszywe aktualizacje przeglądarki Chrome

Fałszywe aktualizacje przeglądarki są wykorzystywane do dystrybucji nowego szkodliwego oprogramowania dla Androida, znanego jako Brokewell, które wcześniej było nieudokumentowane.

Według analizy przeprowadzonej przez badaczy bezpieczeństwa opublikowanej w kwietniu 2024 r. Brokewell to współczesne szkodliwe oprogramowanie bankowe, które umożliwia zarówno kradzież danych, jak i zdalną kontrolę.

Szkodnik aktywnie ewoluuje, a jego ciągły rozwój wprowadza nowe polecenia przechwytujące zdarzenia dotykowe, tekst wyświetlany na ekranie i uruchamiane aplikacje.

Brokewell podszywa się pod różne aplikacje, w tym Google Chrome, ID Austria i Klarna:

• jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
• zRFxj.ieubP.lWZzwlluca (ID Austria)
• com.brkwl.upstracking (Klarna)

Podobnie jak inne najnowsze złośliwe oprogramowanie dla Androida, Brokewell może ominąć ograniczenia Google dotyczące aplikacji ładowanych z boku, które próbują zażądać uprawnień do usługi ułatwień dostępu.

Po zainstalowaniu i uruchomieniu trojan bankowy prosi ofiarę o przyznanie uprawnień do usługi dostępności, umożliwiając automatyczne przyznanie innych uprawnień do wykonywania szkodliwych działań.

Brokewell zawiera różnorodny zestaw złośliwych narzędzi

Możliwości Brokewell obejmują wyświetlanie ekranów nakładkowych w celu kradzieży danych uwierzytelniających użytkownika, przechwytywanie plików cookie sesji, nagrywanie dźwięku, robienie zrzutów ekranu, uzyskiwanie dostępu do dzienników połączeń i lokalizacji urządzenia, wyświetlanie listy zainstalowanych aplikacji, wysyłanie wiadomości SMS, wykonywanie połączeń telefonicznych, instalowanie/odinstalowywanie aplikacji i wyłączanie usług ułatwień dostępu.

Szkodnik umożliwia cyberprzestępcom zdalne przeglądanie zawartości ekranu w czasie rzeczywistym i interakcję z urządzeniem poprzez kliknięcia, przeciągnięcia i dotknięcia.

Brokewell przypisywany jest deweloperowi posługującemu się pseudonimem „Baron Samedit Marais”, który zarządza projektem „Brokewell Cyber Labs”. Projekt obejmuje moduł ładujący Androida hostowany na Gitea, zaprojektowany w celu ominięcia ograniczeń uprawnień dostępu w określonych wersjach Androida i wdrożenia implantu trojana.

Moduł ładujący przypominający dropper generuje aplikacje z domyślną nazwą pakietu „com.brkwl.apkstore”, potencjalnie dostępną dla innych cyberprzestępców próbujących ominąć zabezpieczenia systemu Android.