È stato rinominato Brokewell il nuovo malware Android precedentemente non documentato che si nasconde dietro falsi aggiornamenti del browser Chrome.
Questo è un tipico Trojan bancario in grado di catturare ogni azione eseguita sul dispositivo, dalla pressione sullo schermo e sulle informazioni visualizzate, all’inserimento di testo e all’avvio di applicazioni da parte dell’utente. La sua particolare pericolosità è data anche dal fatto che è in grado di simulare tocchi sul display dello smartphone, scorrimento delle schermate e catturare audio tramite il microfono del dispositivo.
Come se ciò non bastasse, il nuovo Trojan bancario Brokewell è anche in grado di raccogliere dettagli hardware e software sul dispositivo, recuperare i registri delle chiamate, determinare la posizione fisica del dispositivo e catturare l’audio tramite il microfono del dispositivo.
Secondo il rapporto pubblicato dagli analisti della società di sicurezza olandese ThreatFabric, il suo codice dannoso è ancora in fase di sviluppo, ma dalle prime analisi sembra già dotato di funzionalità avanzate tra cui quelle per furto di dati e quelli per assumere il pieno controllo remoto dei dispositivi compromessi.
Per poter rubare dati sensibili alla vittima, Brokewell è in grado di aggirare le restrizioni introdotto da Google in Android 13 e versioni successive per prevenire l’abuso del servizio di accessibilità per le applicazioni trasferite localmente (APK).
Funzionalità di furto di dati e controllo dei dispositivi
Brokewell è stato scoperto dai ricercatori di ThreatFabric mentre analizzavano una pagina web che promuoveva un file falso aggiornamento di Chromeun metodo ampiamente utilizzato dagli hacker criminali per indurre gli utenti incauti a scaricare e installare malware nascosti all’interno di applicazioni apparentemente innocue.
Scavando più a fondo nelle campagne passate, i ricercatori hanno rivelato che Brokewell era stato precedentemente impiegato per prendere di mira servizi finanziari “acquista ora, paga dopo” e per mascherarsi da un’applicazione di autenticazione digitale austriaca chiamata ID Austria.
Utilizzando attacchi overlay, Brokewell è in grado di imitare le schermate di accesso delle applicazioni target per rubare le credenziali di accesso di vittime ignare.
Inoltre, sfruttando il motore WebView integrato, il malware è anche in grado di intercettare ed estrarre cookie di sessione dopo che un utente ha visitato un sito legittimo, trasferendoli poi su un server controllato dall’autore della minaccia.
Immediatamente dopo l’installazione e il primo avvio, Brokewell chiede alla vittima di concedere le autorizzazioni al servizio di accessibilità Android, che successivamente sfrutta per concedere automaticamente altre autorizzazioni ed eseguire varie attività dannose.
Per quanto riguarda il controllo del dispositivo, Brokewell consente all’aggressore di visualizzare lo schermo del dispositivo in tempo reale, eseguire gesti di tocco e scorrimento remoto, fare clic in remoto su elementi o coordinate specifici sullo schermo, abilitare lo scorrimento remoto all’interno degli elementi e digitare testo in campi specifici, simulare la pressione fisica pulsanti come Indietro, Home e Recenti e attiva lo schermo del tuo dispositivo da remoto per rendere tutte le informazioni disponibili per l’acquisizione.
Come evitare di cadere vittima di Brokewell
Secondo quanto scoperto dai ricercatori di ThreatFabric, dietro il malware Brokewell si nasconde un hacker criminale che si fa chiamare Baron Samedit, specializzato nella vendita di strumenti malevoli per il controllo degli account rubati.
Questo dettaglio conferma la disponibilità di operazioni dropper ad un servizio (Daas) che offrono bypass dei servizi di accessibilità Android rappresentano un problema sempre più grave e diffuso.
I ricercatori di sicurezza sottolineano inoltre che la capacità di prendere il controllo dei dispositivi, come nel caso del trojan bancario Brokewell, è sempre più ricercata tra i criminali informatici poiché consente loro di compiere frodi direttamente dal dispositivo della vittima, eludendo così qualsiasi valutazione. e strumenti di rilevamento.
Alla luce di ciò non si può escludere che Brokewell venga ulteriormente sviluppato e offerto ad altri criminali informatici nei forum web clandestini come parte di un più ampio programma malware come servizio (MaaS).
Nel frattempo, per proteggersi dalle infezioni malware Android è consigliabile evitare di scaricare app o aggiornamenti di app al di fuori di Google Play e assicurarsi che Play Protect sia sempre attivo sul tuo dispositivo.
