Brokewell Mobile Malware spredes gennem falske Chrome-opdateringer
Forfalskede browseropdateringer bliver brugt til at distribuere en ny Android-malware kendt som Brokewell, som tidligere var udokumenteret.
Ifølge en analyse fra sikkerhedsforskere offentliggjort i april 2024, er Brokewell en moderne bank-malware, der besidder både datatyveri og fjernstyringsfunktioner.
Malwaren udvikler sig aktivt, med løbende udvikling, der introducerer nye kommandoer til at fange berøringshændelser, tekst på skærmen og lancerede applikationer.
Brokewell forklæder sig som forskellige apps, herunder Google Chrome, ID Austria og Klarna:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Østrig)
- com.brkwl.uptracking (Klarna)
Ligesom andre nyere Android-malware kan Brokewell omgå Googles begrænsninger for sideloadede apps, der forsøger at anmode om tilladelser til tilgængelighedstjenester.
Når først den er installeret og lanceret, beder banktrojaneren offeret om at give adgangstilladelser, hvilket muliggør automatisk tildeling af andre tilladelser til at udføre ondsindede aktiviteter.
Brokewell kommer med forskelligt ondsindet værktøjssæt
Brokewells muligheder omfatter visning af overlejringsskærme for at stjæle brugeroplysninger, opsnappe sessionscookies, optagelse af lyd, tage skærmbilleder, få adgang til opkaldslogger og enhedsplacering, liste over installerede apps, sende SMS-beskeder, foretage telefonopkald, installere/afinstallere apps og deaktivere tilgængelighedstjenester.
Malwaren giver trusselsaktører mulighed for at fjernse skærmindhold i realtid og interagere med enheden gennem klik, swipes og berøringer.
Brokewell tilskrives en udvikler, der bruger pseudonymet "Baron Samedit Marais", som leder projektet "Brokewell Cyber Labs". Projektet inkluderer en Android Loader hostet på Gitea, designet til at omgå adgangstilladelsesbegrænsninger på specifikke Android-versioner og implementere det trojanske implantat.
Indlæseren, der ligner en dropper, genererer apps med standardpakkenavnet "com.brkwl.apkstore", der potentielt er tilgængelige for andre trusselsaktører, der søger at omgå Androids sikkerhedsforanstaltninger.
