Brokewell Mobile Malware sprids genom falska Chrome-uppdateringar
Förfalskade webbläsaruppdateringar används för att distribuera en ny skadlig programvara för Android känd som Brokewell, som tidigare var odokumenterad.
Enligt en analys av säkerhetsforskare som publicerades i april 2024 är Brokewell en modern bankskadlig programvara som har både datastöld och fjärrkontroll.
Skadlig programvara utvecklas aktivt, med pågående utveckling som introducerar nya kommandon för att fånga pekhändelser, text på skärmen och lanserade applikationer.
Brokewell klär ut sig som olika appar, inklusive Google Chrome, ID Austria och Klarna:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Österrike)
- com.brkwl.uptracking (Klarna)
Liksom andra nyare skadliga Android-program kan Brokewell kringgå Googles begränsningar för sidoladdade appar som försöker begära behörigheter för tillgänglighetstjänster.
När den väl har installerats och lanserats uppmanar banktrojanen offret att ge åtkomsttjänsttillstånd, vilket möjliggör automatiskt beviljande av andra behörigheter för att utföra skadliga aktiviteter.
Brokewell kommer med olika skadliga verktyg
Brokewells möjligheter inkluderar att visa överläggsskärmar för att stjäla användaruppgifter, avlyssna sessionscookies, spela in ljud, ta skärmdumpar, komma åt samtalsloggar och enhetsplats, lista installerade appar, skicka SMS, ringa telefonsamtal, installera/avinstallera appar och inaktivera tillgänglighetstjänster.
Skadlig programvara gör det möjligt för hotaktörer att på distans se skärminnehåll i realtid och interagera med enheten genom klick, svep och beröring.
Brokewell tillskrivs en utvecklare som använder pseudonymen "Baron Samedit Marais" som leder projektet "Brokewell Cyber Labs". Projektet inkluderar en Android Loader värd på Gitea, utformad för att kringgå begränsningar av tillgänglighetsbehörighet för specifika Android-versioner och distribuera trojanimplantatet.
Laddaren, som liknar en dropper, genererar appar med standardpaketnamnet "com.brkwl.apkstore", potentiellt tillgängliga för andra hotaktörer som försöker undvika Androids säkerhetsåtgärder.