Brokewell 行動惡意軟體透過虛假 Chrome 更新傳播
假冒瀏覽器更新被用來傳播一種名為 Brokewell 的新 Android 惡意軟體,該惡意軟體之前並未被記錄在案。
根據安全研究人員 2024 年 4 月發布的分析,Brokewell 是當代銀行惡意軟體,具有資料竊取和遠端控制功能。
該惡意軟體正在積極發展,並不斷開發引入新命令來捕獲觸摸事件、螢幕文字和啟動的應用程式。
Brokewell 將自己偽裝成各種應用程序,包括 Google Chrome、ID Austria 和 Klarna:
- jcwAz.EpLIq.vcAZiUGZpK(Google瀏覽器)
- zRFxj.ieubP.lWZzwluca(ID 奧地利)
- com.brkwl.upstracking(克拉納)
與其他最近的 Android 惡意軟體一樣,Brokewell 可以規避 Google 對嘗試請求輔助服務權限的旁加載應用程式的限制。
安裝並啟動後,銀行木馬會提示受害者授予輔助功能服務權限,從而自動授予其他權限以執行惡意活動。
Brokewell 附有多種惡意工具包
Brokewell 的功能包括顯示覆蓋螢幕以竊取使用者憑證、攔截會話cookie、錄製音訊、截取螢幕截圖、存取通話記錄和裝置位置、列出已安裝的應用程式、發送簡訊、撥打電話、安裝/卸載應用程式以及禁用輔助服務。
該惡意軟體允許威脅行為者遠端查看即時螢幕內容並透過點擊、滑動和觸摸與裝置互動。
Brokewell 是由一位化名「Baron Samedit Marais」的開發人員負責管理「Brokewell Cyber Labs」專案。該專案包括一個託管在 Gitea 上的 Android Loader,旨在繞過特定 Android 版本的可存取權限限制並部署木馬植入程式。
該加載程序類似於植入程序,生成預設包名稱為“com.brkwl.apkstore”的應用程序,其他試圖規避 Android 安全措施的威脅行為者可能可以訪問該應用程式。