Brokewell 行動惡意軟體透過虛假 Chrome 更新傳播

假冒瀏覽器更新被用來傳播一種名為 Brokewell 的新 Android 惡意軟體，該惡意軟體之前並未被記錄在案。

根據安全研究人員 2024 年 4 月發布的分析，Brokewell 是當代銀行惡意軟體，具有資料竊取和遠端控制功能。

該惡意軟體正在積極發展，並不斷開發引入新命令來捕獲觸摸事件、螢幕文字和啟動的應用程式。

Brokewell 將自己偽裝成各種應用程序，包括 Google Chrome、ID Austria 和 Klarna：

• jcwAz.EpLIq.vcAZiUGZpK（Google瀏覽器）
• zRFxj.ieubP.lWZzwluca（ID 奧地利）
• com.brkwl.upstracking（克拉納）

與其他最近的 Android 惡意軟體一樣，Brokewell 可以規避 Google 對嘗試請求輔助服務權限的旁加載應用程式的限制。

安裝並啟動後，銀行木馬會提示受害者授予輔助功能服務權限，從而自動授予其他權限以執行惡意活動。

Brokewell 附有多種惡意工具包

Brokewell 的功能包括顯示覆蓋螢幕以竊取使用者憑證、攔截會話cookie、錄製音訊、截取螢幕截圖、存取通話記錄和裝置位置、列出已安裝的應用程式、發送簡訊、撥打電話、安裝/卸載應用程式以及禁用輔助服務。

該惡意軟體允許威脅行為者遠端查看即時螢幕內容並透過點擊、滑動和觸摸與裝置互動。

Brokewell 是由一位化名「Baron Samedit Marais」的開發人員負責管理「Brokewell Cyber Labs」專案。該專案包括一個託管在 Gitea 上的 Android Loader，旨在繞過特定 Android 版本的可存取權限限制並部署木馬植入程式。

該加載程序類似於植入程序，生成預設包名稱為“com.brkwl.apkstore”的應用程序，其他試圖規避 Android 安全措施的威脅行為者可能可以訪問該應用程式。