Поддельные обновления браузера используются для распространения ранее недокументированной вредоносной программы для Android под названием Brokewell.
"Brokewell - типичное современное банковское вредоносное ПО, оснащенное встроенными в вредоносное ПО возможностями кражи данных и удаленного управления", - заявила голландская охранная фирма ThreatFabric в анализе, опубликованном в четверг.
Сообщается, что вредоносная программа находится в активной разработке, добавляя новые команды для захвата событий касания, текстовой информации, отображаемой на экране, и приложений, запускаемых жертвой.
Список приложений Brokewell, которые маскируются под Google Chrome, ID Austria и Klarna, выглядит следующим образом -
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Австрия)
- com.brkwl.upstracking (Klarna)
Банковский троянец после первой установки и запуска предлагает жертве предоставить разрешения службе специальных возможностей, которые он впоследствии использует для автоматического предоставления других разрешений и выполнения различных вредоносных действий.
Это включает в себя отображение наложенных экранов поверх целевых приложений для кражи учетных данных пользователя. Она также может красть файлы cookie, запуская WebView и загружая законный веб-сайт, после чего сеансовые файлы cookie перехватываются и передаются на сервер, контролируемый участником.
Некоторые другие функции Brokewell включают в себя возможность записывать аудио, делать скриншоты, извлекать журналы вызовов, получать доступ к местоположению устройства, списку установленных приложений, записывать каждое событие, происходящее на устройстве, отправлять SMS-сообщения, совершать телефонные звонки, устанавливать и деинсталлировать приложения и даже отключать службу специальных возможностей.
Злоумышленники также могут использовать функции удаленного управления вредоносной программой, чтобы видеть, что отображается на экране в режиме реального времени, а также взаимодействовать с устройством посредством щелчков, прокрутки и касаний.
Говорят, что Brokewell является работой разработчика под именем "Baron Samedit Marais" и управляет проектом "Brokewell Cyber Labs", который также включает загрузчик Android, публично размещенный на Gitea.
Загрузчик предназначен для работы в качестве дроппера, который обходит ограничения прав доступа в версиях Android 13, 14 и 15, используя метод, ранее принятый предложениями dropper-as-a-service (DaaS), такими как SecuriDropper, и внедряет троянский имплантат.
По умолчанию приложения-загрузчики, созданные с помощью этого процесса, имеют имя пакета "com.brkwl.apkstore", хотя пользователь может настроить это, либо указав конкретное имя, либо включив генератор случайных имен пакетов.
Бесплатная доступность загрузчика означает, что им могут воспользоваться другие участники угроз, желающие обойти меры безопасности Android.
"Во-вторых, существующие предложения "Dropper-как-услуга", которые в настоящее время предоставляют эту возможность в качестве отличительной особенности, скорее всего, либо закроют свои сервисы, либо попытаются реорганизоваться", - сказали в ThreatFabric.
"Это еще больше снижает барьер для проникновения киберпреступников, желающих распространять мобильное вредоносное ПО на современных устройствах, облегчая выход на рынок большему количеству участников".
