Novi trojan napada Androide i skida bankarske podatke

Istraživači sigurnosti otkrili su sofisticirani Android bankovni trojanac po imenu Brokewell, sposoban da uhvati gotovo svaku interakciju korisnika na uređaju, od dodira i prikazanih informacija do unosa teksta i pokretanja aplikacija.

Zlonamjerni softver se distribuira putem lažne stranice za ažuriranje Google Chromea koja se pojavljuje dok korisnici pretražuju web. Brokewell je trenutno u aktivnom razvoju i kombinuje opsežne funkcije preuzimanja uređaja sa mogućnostima daljinskog upravljanja.

Ključni detalji

Istraživači u ThreatFabric-u, kompaniji koja se bavi rizikom od prevare, identificirali su Brokewella tokom istrage o lažnoj stranici za ažuriranje Chromea koja je isporučila sadržaj zlonamjernog softvera, što je uobičajena taktika zavaravanja nesuđenih korisnika da instaliraju zlonamjerni softver.

Prethodne kampanje otkrivaju da je Brokewell ciljao "kupi sada, plati kasnije" finansijske usluge kao što je Klarna i da se predstavljao kao austrijska aplikacija za digitalnu autentifikaciju pod nazivom ID Austria, piše Bleepingcomputer.com.

Brokewellove primarne funkcije uključuju krađu podataka i funkcije daljinskog upravljanja:

Kako krade podatke?

Koristi preklopne napade da oponaša ekrane za prijavu ciljanih aplikacija i krade lozinke.

Presreće i izdvaja kolačiće sa legitimnih web stranica koristeći vlastiti WebView nakon prijave korisnika.

Snima korisničke interakcije s uređajem, uključujući dodirivanje, prevlačenje i unos teksta, radi krađe osjetljivih informacija.

Dohvaća detalje o hardveru i softveru uređaja, evidenciju poziva i fizičku lokaciju.

Pristup mikrofonu uređaja radi snimanja zvuka.

Kako preuzima uređaj?

Omogućava striming ekrana u realnom vremenu za napadače.

Omogućava daljinsko izvršavanje pokreta dodira i prevlačenja na zaraženim uređajima.

Omogućava daljinski klik na određene elemente ekrana ili koordinate.

Olakšava daljinsko pomicanje unutar elemenata i kucanje teksta u određena polja.

Simulira fizičke pritiske na dugmad kao što su Back, Home i Recents.

Daljinski aktivira ekran uređaja za hvatanje informacija i prilagođava postavke poput svjetline i jačine zvuka.

Novi akter prijetnje

Programer iza Brokewella identificiran je kao pojedinac poznat kao Baron Samedit, koji prodaje alate za provjeru računa najmanje dvije godine.

Drugi alat pod nazivom "Brokewell Android Loader", koji je također razvio Samedit, zaobilazi Googleova ograničenja uvedena u Androidu 13 i novijim verzijama kako bi spriječila zloupotrebu usluge pristupačnosti za aplikacije sa strane.

Ovakvi učitavači su postali uobičajeni i široko se koriste, omogućavajući zlonamjernom softveru da zaobiđe sigurnosne mjere.

Sigurnost i preporuke

Mogućnosti preuzimanja uređaja koje nudi Brokewell vrlo su tražene među sajber kriminalcima jer omogućavaju lažne aktivnosti dok izbjegavaju otkrivanje.

Istraživači očekuju da će se Brokewell dalje razvijati i nuditi kao dio malware-as-a-service (MaaS) operacija na podzemnim forumima.

Kako bi se smanjio rizik od zaraze Android zlonamjernim softverom, korisnicima se savjetuje da izbjegavaju preuzimanje aplikacija ili ažuriranja iz neslužbenih izvora i da osiguraju da je Google Play Protect aktivan na njihovim uređajima u svakom trenutku.