Il malware Android hackera i conti bancari con falsi avvisi di aggiornamento di Chrome

I ricercatori di sicurezza hanno scoperto un nuovo trojan bancario per Android che può rubare informazioni sensibili degli utenti e consentire agli attaccanti di controllare da remoto i dispositivi infetti.

“Brokewell è un tipico malware bancario moderno dotato di capacità sia di furto di dati che di controllo remoto integrate nel malware,” ha dichiarato la società di sicurezza olandese ThreatFabric in un’analisi pubblicata giovedì.

Secondo ThreatFabric, Brokewell rappresenta una minaccia significativa per l’industria bancaria, fornendo agli attaccanti accesso remoto a tutte le risorse disponibili tramite il mobile banking. Il malware è stato scoperto dai ricercatori mentre indagavano su una pagina “di aggiornamento” falsa del browser web Google Chrome, comunemente utilizzata dai criminali informatici per attirare le vittime a scaricare e installare malware.

Esaminando campagne precedenti, i ricercatori hanno scoperto che Brokewell è stato utilizzato per colpire un popolare servizio finanziario “compra ora, paga dopo” e un’applicazione di autenticazione digitale austriaca.

Si dice che il malware sia in fase di sviluppo attivo, con nuovi comandi aggiunti quasi quotidianamente per catturare ogni evento sul dispositivo, dai tasti premuti e le informazioni visualizzate sullo schermo agli input di testo e alle app avviate dalla vittima.

Una volta scaricato, Brokewell crea uno schermo sovrapposto su un’applicazione mirata per catturare le credenziali dell’utente. Può anche rubare i cookie del browser avviando il proprio WebView, sovrascrivendo il metodo onPageFinished e scaricando i cookie di sessione dopo che l’utente completa il processo di accesso.

“Brokewell è dotato di ‘registrazione dell’accessibilità’, catturando ogni evento che si verifica sul dispositivo: tocchi, scorrimenti, informazioni visualizzate, input di testo e applicazioni aperte. Tutte le azioni vengono registrate e inviate al server di comando e controllo, rubando efficacemente qualsiasi dato riservato visualizzato o inserito sul dispositivo compromesso,” sottolineano i ricercatori di ThreatFabric.

“È importante evidenziare che, in questo caso, qualsiasi applicazione è a rischio di compromissione dei dati: Brokewell registra ogni evento, rappresentando una minaccia per tutte le applicazioni installate sul dispositivo. Questo pezzo di malware supporta anche una varietà di funzionalità di ‘spyware’: può raccogliere informazioni sul dispositivo, cronologia delle chiamate, geolocalizzazione e registrare audio.”

Dopo aver rubato le credenziali, gli attaccanti possono avviare un attacco di takeover del dispositivo utilizzando le capacità di controllo remoto per eseguire lo streaming dello schermo. Fornisce anche all’attore della minaccia una gamma di vari comandi che possono essere eseguiti sul dispositivo controllato, come tocchi, scorrimenti e clic su elementi specificati.

ThreatFabric ha scoperto che uno dei server utilizzati come punto di comando e controllo (C2) per Brokewell è stato anche utilizzato per ospitare un repository chiamato “Brokewell Cyber Labs,” creato da un attore della minaccia chiamato “Baron Samedit.”

Questo repository comprendeva il codice sorgente per il “Brokewell Android Loader,” un altro strumento dello stesso sviluppatore progettato per bypassare le restrizioni che Google ha introdotto in Android 13 e versioni successive per prevenire lo sfruttamento del Servizio di Accessibilità per app caricate lateralmente (APK).

Secondo ThreatFabric, Baron Samedit è attivo da almeno due anni, fornendo strumenti ad altri criminali informatici per controllare conti rubati da più servizi, che potrebbero ancora essere migliorati per supportare un’operazione di malware-as-a-service.

“Prevediamo una ulteriore evoluzione di questa famiglia di malware, poiché abbiamo già osservato aggiornamenti quasi quotidiani al malware. Brokewell sarà probabilmente promosso su canali sotterranei come un servizio di noleggio, attirando l’interesse di altri criminali informatici e innescando nuove campagne mirate a diverse regioni,” concludono i ricercatori.

Pertanto, l’unico modo per identificare e prevenire efficacemente potenziali frodi da famiglie di malware come il recentemente scoperto Brokewell è utilizzare una soluzione di rilevamento delle frodi completa e multilivello basata su una combinazione di indicatori, inclusi rischi per dispositivo, comportamento e identità per ciascun cliente.

Per proteggerti dalle infezioni da malware Android, è consigliabile evitare di caricare app lateralmente o aprire URL brevi nei messaggi di testo e fare molta attenzione mentre concedi permessi alle app che installi. Inoltre, non scaricare app o aggiornamenti di app sul tuo telefono Android da fonti esterne al Google Play Store.

Inoltre, mantieni Google Play Protect attivato sul tuo dispositivo Android in ogni momento per scansionare tutte le tue app attuali e qualsiasi nuova app che scarichi per malware. Potresti anche considerare di installare software antivirus aggiuntivo per Android per una maggiore sicurezza.

Google ha confermato a Securityweek che Google Play Protect, che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services, protegge automaticamente gli utenti contro le versioni note di questo malware.

Avvisa anche gli utenti o blocca app note per mostrare comportamenti dannosi, anche quando queste app provengono da fonti esterne a Play.