Malware de Android hackea cuentas bancarias con falsos mensajes de actualización de Chrome

Los investigadores de seguridad han descubierto un nuevo troyano bancario de Android que puede robar información sensible de los usuarios y permitir a los atacantes controlar de forma remota dispositivos infectados.

“Brokewell es un malware bancario moderno típico equipado con capacidades tanto de robo de datos como de control remoto integradas en el malware”, dijo la firma de seguridad holandesa ThreatFabric en un análisis publicado el jueves.

Según ThreatFabric, Brokewell representa una amenaza significativa para la industria bancaria, proporcionando a los atacantes acceso remoto a todos los activos disponibles a través de la banca móvil. El malware fue descubierto por los investigadores mientras investigaban una página de “actualización” falsa del navegador web Google Chrome, comúnmente utilizada por los ciberdelincuentes para atraer a las víctimas a descargar e instalar malware.

Al observar campañas anteriores, los investigadores encontraron que Brokewell se utilizó para atacar un popular servicio financiero de “compra ahora, paga después” y una aplicación de autenticación digital austriaca.

Se dice que el malware está en desarrollo activo, con nuevos comandos añadidos casi a diario para capturar cada evento en el dispositivo, desde pulsaciones de teclas e información mostrada en pantalla hasta entradas de texto y aplicaciones lanzadas por la víctima.

Una vez descargado, Brokewell crea una pantalla superpuesta en una aplicación objetivo para capturar las credenciales del usuario. También puede robar cookies del navegador lanzando su propio WebView, sobrescribiendo el método onPageFinished y volcando las cookies de sesión después de que el usuario complete el proceso de inicio de sesión.

“Brokewell está equipado con ‘registro de accesibilidad’, capturando cada evento que ocurre en el dispositivo: toques, deslizamientos, información mostrada, entrada de texto y aplicaciones abiertas. Todas las acciones se registran y se envían al servidor de comando y control, robando efectivamente cualquier dato confidencial mostrado o ingresado en el dispositivo comprometido”, señalan los investigadores de ThreatFabric.

“Es importante destacar que, en este caso, cualquier aplicación está en riesgo de compromiso de datos: Brokewell registra cada evento, representando una amenaza para todas las aplicaciones instaladas en el dispositivo. Esta pieza de malware también admite una variedad de funcionalidades de ‘spyware’: puede recopilar información sobre el dispositivo, historial de llamadas, geolocalización y grabar audio.”

Después de robar las credenciales, los atacantes pueden iniciar un ataque de Toma de Control del Dispositivo utilizando capacidades de control remoto para realizar transmisión de pantalla. También proporciona al actor de la amenaza una variedad de comandos que se pueden ejecutar en el dispositivo controlado, como toques, deslizamientos y clics en elementos específicos.

ThreatFabric descubrió que uno de los servidores utilizados como punto de comando y control (C2) para Brokewell también se utilizó para alojar un repositorio llamado “Brokewell Cyber Labs”, creado por un actor de la amenaza llamado “Baron Samedit”.

Este repositorio contenía el código fuente para el “Brokewell Android Loader”, otra herramienta del mismo desarrollador diseñada para eludir las restricciones que Google introdujo en Android 13 y versiones posteriores para prevenir la explotación del Servicio de Accesibilidad para aplicaciones cargadas lateralmente (APKs).

Según ThreatFabric, Baron Samedit ha estado activo durante al menos dos años, proporcionando herramientas a otros ciberdelincuentes para verificar cuentas robadas de múltiples servicios, que aún podrían mejorarse para admitir una operación de malware como servicio.

“Anticipamos una evolución adicional de esta familia de malware, ya que ya hemos observado actualizaciones casi diarias del malware. Es probable que Brokewell se promocione en canales subterráneos como un servicio de alquiler, atrayendo el interés de otros ciberdelincuentes y provocando nuevas campañas dirigidas a diferentes regiones”, concluyen los investigadores.

Por lo tanto, la única forma de identificar y prevenir efectivamente el fraude potencial de familias de malware como el recién descubierto Brokewell es utilizar una solución integral de detección de fraude en múltiples capas que se base en una combinación de indicadores, incluidos riesgos de dispositivo, comportamiento e identidad para cada cliente.

Para protegerse de infecciones de malware en Android, se aconseja evitar cargar aplicaciones lateralmente o abrir URL cortas en mensajes de texto y tener mucho cuidado al otorgar permisos a las aplicaciones que instala. Además, no descargue aplicaciones o actualizaciones de aplicaciones en su teléfono Android desde fuera de Google Play Store.

Además, mantenga Google Play Protect habilitado en su dispositivo Android en todo momento para escanear todas sus aplicaciones actuales y cualquier nueva aplicación que descargue en busca de malware. También puede considerar instalar software antivirus adicional para Android para mayor seguridad.

Google ha confirmado a Securityweek que Google Play Protect, que está activado por defecto en dispositivos Android con Google Play Services, protege automáticamente a los usuarios contra versiones conocidas de este malware.

También advierte a los usuarios o bloquea aplicaciones conocidas por exhibir comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play.