Android-Malware hackt Bankkonten mit gefälschten Chrome-Update-Aufforderungen

Sicherheitsforscher haben einen neuen Android-Banking-Trojaner entdeckt, der sensible Informationen von Nutzern stehlen und Angreifern die Fernsteuerung infizierter Geräte ermöglichen kann.

„Brokewell ist eine typische moderne Banking-Malware, die sowohl Datenstehl- als auch Fernsteuerungsfunktionen in die Malware integriert hat“, sagte die niederländische Sicherheitsfirma ThreatFabric in einer am Donnerstag veröffentlichten Analyse.

Laut ThreatFabric stellt Brokewell eine erhebliche Bedrohung für die Bankenbranche dar, da es Angreifern Fernzugriff auf alle über Mobile Banking verfügbaren Vermögenswerte bietet. Die Malware wurde von den Forschern entdeckt, während sie eine gefälschte Google Chrome-Webbrowser-„Update“-Seite untersuchten, die häufig von Cyberkriminellen verwendet wird, um Opfer dazu zu verleiten, Malware herunterzuladen und zu installieren.

Bei der Betrachtung früherer Kampagnen fanden die Forscher heraus, dass Brokewell verwendet wurde, um einen beliebten „Jetzt kaufen, später bezahlen“-Finanzdienst und eine österreichische digitale Authentifizierungsanwendung ins Visier zu nehmen.

Die Malware soll sich in aktiver Entwicklung befinden, wobei fast täglich neue Befehle hinzugefügt werden, um jedes Ereignis auf dem Gerät zu erfassen, von Tastatureingaben und auf dem Bildschirm angezeigten Informationen bis hin zu Texteingaben und von dem Opfer gestarteten Apps.

Sobald Brokewell heruntergeladen wurde, erstellt es einen Overlay-Bildschirm auf einer gezielten Anwendung, um Benutzeranmeldeinformationen zu erfassen. Es kann auch Browser-Cookies stehlen, indem es seine eigene WebView startet, die Methode onPageFinished überschreibt und die Sitzungscookies abfängt, nachdem der Benutzer den Anmeldevorgang abgeschlossen hat.

„Brokewell ist mit „Zugriffsprotokollierung“ ausgestattet, die jedes Ereignis auf dem Gerät erfasst: Berührungen, Wischbewegungen, angezeigte Informationen, Texteingaben und geöffnete Anwendungen. Alle Aktionen werden protokolliert und an den Command-and-Control-Server gesendet, wodurch effektiv vertrauliche Daten gestohlen werden, die auf dem kompromittierten Gerät angezeigt oder eingegeben werden“, weisen die Forscher von ThreatFabric hin.

„Es ist wichtig zu betonen, dass in diesem Fall jede Anwendung von Datenkompromittierung bedroht ist: Brokewell protokolliert jedes Ereignis und stellt eine Bedrohung für alle auf dem Gerät installierten Anwendungen dar. Dieses Stück Malware unterstützt auch eine Vielzahl von „Spyware“-Funktionen: Es kann Informationen über das Gerät, den Anrufverlauf, die Geolokalisierung sammeln und Audio aufzeichnen.“

Nachdem die Anmeldeinformationen gestohlen wurden, können die Angreifer einen Device Takeover-Angriff initiieren, indem sie die Fernsteuerungsfunktionen nutzen, um Bildschirmstreaming durchzuführen. Es bietet dem Bedrohungsakteur auch eine Reihe von verschiedenen Befehlen, die auf dem kontrollierten Gerät ausgeführt werden können, wie Berührungen, Wischbewegungen und Klicks auf bestimmte Elemente.

ThreatFabric entdeckte, dass einer der Server, der als Command-and-Control (C2)-Punkt für Brokewell verwendet wurde, auch zum Hosten eines Repositories namens „Brokewell Cyber Labs“ verwendet wurde, das von einem Bedrohungsakteur namens „Baron Samedit“ erstellt wurde.

Dieses Repository umfasste den Quellcode für den „Brokewell Android Loader“, ein weiteres Tool des gleichen Entwicklers, das entwickelt wurde, um die Einschränkungen zu umgehen, die Google in Android 13 und später eingeführt hat, um die Ausnutzung des Accessibility Service für seitlich geladenen Apps (APKs) zu verhindern.

Laut ThreatFabric ist Baron Samedit seit mindestens zwei Jahren aktiv und stellt anderen Cyberkriminellen Werkzeuge zur Verfügung, um gestohlene Konten von mehreren Diensten zu überprüfen, was noch verbessert werden könnte, um einen Malware-as-a-Service-Betrieb zu unterstützen.

„Wir erwarten eine weitere Evolution dieser Malware-Familie, da wir bereits fast tägliche Updates der Malware beobachtet haben. Brokewell wird wahrscheinlich in Untergrundkanälen als Mietdienst beworben, was das Interesse anderer Cyberkrimineller wecken und neue Kampagnen auslösen wird, die sich auf verschiedene Regionen konzentrieren“, schließen die Forscher.

Daher ist der einzige Weg, potenziellen Betrug durch Malware-Familien wie das neu entdeckte Brokewell effektiv zu identifizieren und zu verhindern, die Verwendung einer umfassenden, mehrschichtigen Betrugserkennungslösung, die auf einer Kombination von Indikatoren basiert, einschließlich Geräte-, Verhaltens- und Identitätsrisiken für jeden Kunden.

Um sich vor Android-Malware-Infektionen zu schützen, ist es ratsam, das Seiteneinladen von Apps oder das Öffnen von Kurz-URLs in Textnachrichten zu vermeiden und sehr vorsichtig zu sein, wenn Sie Berechtigungen für die Apps erteilen, die Sie installieren. Darüber hinaus sollten Sie keine Apps oder App-Updates auf Ihrem Android-Telefon von außerhalb des Google Play Stores herunterladen.

Zusätzlich sollten Sie Google Play Protect jederzeit auf Ihrem Android-Gerät aktiviert lassen, um alle Ihre aktuellen Apps und alle neuen Apps, die Sie herunterladen, auf Malware zu scannen. Sie können auch in Betracht ziehen, zusätzliche Android-Antivirus-Software für zusätzliche Sicherheit zu installieren.

Google hat Securityweek bestätigt, dass Google Play Protect, das standardmäßig auf Android-Geräten mit Google Play-Diensten aktiviert ist, die Benutzer automatisch vor bekannten Versionen dieser Malware schützt.

Es warnt auch Benutzer oder blockiert Apps, von denen bekannt ist, dass sie bösartiges Verhalten aufweisen, selbst wenn diese Apps aus Quellen außerhalb von Play stammen.