26 de abril de 2024EnsayoSeguridad móvil/Cibercrimen

Se están utilizando actualizaciones falsas del navegador para impulsar un malware de Android previamente no documentado llamado Brokewell.

«Brokewell es un típico malware bancario moderno equipado con capacidades de robo de datos y control remoto integradas en el malware», dijo la firma de seguridad holandesa ThreatFabric. él dijo en un análisis publicado el jueves.

Se dice que el malware está en desarrollo activo y agrega nuevos comandos para capturar eventos táctiles, información textual que se muestra en la pantalla y las aplicaciones que inicia la víctima.

La lista de aplicaciones de Brokewell que se hacen pasar por Google Chrome, ID Austria y Klarna es la siguiente:

• jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
• zRFxj.ieubP.lWZzwlluca (ID Austria)
• com.brkwl.upstracking (Klarna)

Al igual que otras familias recientes de malware de Android de este tipo, Brokewell puede eludir las restricciones impuestas por Google que impiden que las aplicaciones descargadas soliciten permisos de servicios de accesibilidad.

El troyano bancario, una vez instalado y ejecutado por primera vez, pide a la víctima que conceda permisos al servicio de accesibilidad, que luego utiliza para conceder automáticamente otros permisos y realizar diversas actividades maliciosas.

Esto incluye mostrar pantallas superpuestas en aplicaciones específicas para robar credenciales de usuario. También puede robar galletas lanzando un Vista web y cargar el sitio web legítimo, tras lo cual las cookies de sesión son interceptadas y transmitidas a un servidor controlado por el actor.

Algunas de las otras características de Brokewell incluyen la capacidad de grabar audio, tomar capturas de pantalla, recuperar registros de llamadas, acceder a la ubicación del dispositivo, enumerar las aplicaciones instaladas, registrar todos los eventos que suceden en el dispositivo, enviar mensajes SMS, realizar llamadas, instalar y desinstalar aplicaciones. e incluso desactivar el servicio de accesibilidad.

Los actores de amenazas también pueden aprovechar la funcionalidad de control remoto del malware para ver lo que se muestra en la pantalla en tiempo real, así como interactuar con el dispositivo mediante clics, deslizamientos y toques.

Se dice que Brokewell es obra de un desarrollador llamado “Baron Samedit Marais” y administra el proyecto “Brokewell Cyber ​​​​Labs”, que también incluye un cargador de Android alojado públicamente en Gitea.

El cargador está diseñado para actuar como un cuentagotas que evita las restricciones de permisos de accesibilidad en las versiones 13, 14 y 15 de Android utilizando una técnica previamente adoptada por ofertas de cuentagotas como servicio (DaaS) como SecuriDropper e implementa el implante troyano.

De forma predeterminada, las aplicaciones de carga generadas a través de este proceso tienen el nombre de paquete «com.brkwl.apkstore», aunque el usuario puede configurarlo proporcionando un nombre específico o habilitando el generador de nombres de paquetes aleatorios.

La disponibilidad gratuita del cargador significa que podría ser adoptado por otros actores de amenazas que busquen eludir las protecciones de seguridad de Android.

«En segundo lugar, las ofertas existentes de 'Dropper-as-a-Service' que actualmente brindan esta capacidad como característica distintiva probablemente cerrarán sus servicios o intentarán reorganizarse», dijo ThreatFabric.

«Esto reduce aún más la barrera de entrada para los ciberdelincuentes que buscan distribuir malware móvil en dispositivos modernos, lo que facilita que más actores entren en este campo».