Atualizações falsas do navegador estão sendo usadas para enviar um malware Android anteriormente não documentado chamado Brokewell.
“Brokewell é um típico malware bancário moderno equipado com recursos de roubo de dados e controle remoto integrados ao malware”, disse a empresa de segurança holandesa ThreatFabric em uma análise publicada na quinta-feira.
Diz-se que o malware está em desenvolvimento ativo, adicionando novos comandos para capturar eventos de toque, informações textuais exibidas na tela e os aplicativos que a vítima inicia.
A lista de aplicativos Brokewell que se disfarçam de Google Chrome, ID Austria e Klarna é a seguinte –
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Áustria)
- com.brkwl.upstracking (Klarna)
Como outras famílias recentes de malware para Android desse tipo, o Brokewell é capaz de contornar as restrições impostas pelo Google que impedem que aplicativos transferidos por sideload solicitem permissões de serviço de acessibilidade.
O trojan bancário, uma vez instalado e lançado pela primeira vez, solicita à vítima que conceda permissões ao serviço de acessibilidade, que posteriormente utiliza para conceder automaticamente outras permissões e realizar diversas atividades maliciosas.
Isso inclui a exibição de telas sobrepostas em aplicativos direcionados para roubar credenciais do usuário. Ele também pode roubar cookies iniciando um WebView e carregando o website legítimo, após o qual os cookies da sessão são interceptados e transmitidos para um servidor controlado pelo ator.
Alguns dos outros recursos do Brokewell incluem a capacidade de gravar áudio, fazer capturas de tela, recuperar registros de chamadas, acessar a localização do dispositivo, listar aplicativos instalados, registrar todos os eventos que acontecem no dispositivo, enviar mensagens SMS, fazer chamadas, instalar e desinstalar aplicativos. e até desabilitar o serviço de acessibilidade.
Os agentes da ameaça também podem aproveitar a funcionalidade de controle remoto do malware para ver o que é exibido na tela em tempo actual, bem como interagir com o dispositivo por meio de cliques, deslizamentos e toques.
Diz-se que Brokewell é o trabalho de um desenvolvedor chamado “Baron Samedit Marais” e gerencia o projeto “Brokewell Cyber Labs”, que também inclui um Android Loader hospedado publicamente no Gitea.
O carregador foi projetado para atuar como um conta-gotas que ignora as restrições de permissões de acessibilidade nas versões 13, 14 e 15 do Android usando uma técnica anteriormente adotada por ofertas de conta-gotas como serviço (DaaS), como SecuriDropper, e implanta o implante de trojan.
Por padrão, os aplicativos carregadores gerados por meio desse processo têm o nome de pacote “com.brkwl.apkstore”, embora isso possa ser configurado pelo usuário fornecendo um nome específico ou ativando o gerador aleatório de nomes de pacotes.
A disponibilidade gratuita do carregador significa que ele pode ser adotado por outros agentes de ameaças que buscam contornar as proteções de segurança do Android.
“Em segundo lugar, as ofertas existentes de ‘Dropper-as-a-Service’ que atualmente fornecem esse recurso como um recurso distintivo provavelmente fecharão seus serviços ou tentarão se reorganizar”, disse ThreatFabric.
“Isso reduz ainda mais a barreira de entrada para os cibercriminosos que buscam distribuir malware móvel em dispositivos modernos, facilitando a entrada de mais atores no campo”.