Вредоносное ПО Brokewell Mobile распространяется через поддельные обновления Chrome
Поддельные обновления браузера используются для распространения нового вредоносного ПО для Android, известного как Brokewell, которое ранее не было документировано.
Согласно анализу исследователей безопасности, опубликованному в апреле 2024 года, Brokewell — это современное банковское вредоносное ПО, обладающее возможностями как кражи данных, так и дистанционного управления.
Вредоносное ПО активно развивается, при этом в его постоянной разработке появляются новые команды для захвата событий касания, экранного текста и запускаемых приложений.
Brokewell маскируется под различные приложения, включая Google Chrome, ID Austria и Klarna:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Австрия)
- com.brkwl.upstracking (Кларна)
Как и другие недавние вредоносные программы для Android, Brokewell может обходить ограничения Google на загружаемые приложения, которые пытаются запрашивать разрешения службы специальных возможностей.
После установки и запуска банковский троян предлагает жертве предоставить разрешения службы специальных возможностей, что позволяет автоматически предоставлять другие разрешения для выполнения вредоносных действий.
Brokewell поставляется с разнообразным вредоносным набором инструментов
Возможности Brokewell включают в себя отображение наложенных экранов для кражи учетных данных пользователя, перехват файлов cookie сеанса, запись звука, создание снимков экрана, доступ к журналам вызовов и местоположению устройства, составление списка установленных приложений, отправку SMS-сообщений, совершение телефонных звонков, установку/удаление приложений и отключение служб специальных возможностей.
Вредоносное ПО позволяет злоумышленникам удаленно просматривать содержимое экрана в реальном времени и взаимодействовать с устройством посредством щелчков мышью, пролистывания и касаний.
Броуквелла приписывают разработчику, использующему псевдоним «Барон Самедит Марэ», который управляет проектом «Brokewell Cyber Labs». Проект включает в себя загрузчик Android, размещенный на Gitea, предназначенный для обхода ограничений доступа к определенным версиям Android и развертывания троянского имплантата.
Загрузчик, напоминающий дроппер, генерирует приложения с именем пакета по умолчанию «com.brkwl.apkstore», потенциально доступным другим злоумышленникам, стремящимся обойти меры безопасности Android.