Malware Android Hackeia Contas Bancárias com Prompts Falsos de Atualização do Chrome

Pesquisadores de segurança descobriram um novo trojan bancário para Android que pode roubar informações sensíveis dos usuários e permitir que atacantes controlem remotamente dispositivos infectados.

“Brokewell é um malware bancário moderno típico, equipado com capacidades de roubo de dados e controle remoto integradas ao malware”, disse a empresa de segurança holandesa ThreatFabric em uma análise publicada na quinta-feira.

De acordo com a ThreatFabric, Brokewell representa uma ameaça significativa para a indústria bancária, fornecendo aos atacantes acesso remoto a todos os ativos disponíveis através do banco móvel. O malware foi descoberto pelos pesquisadores enquanto investigavam uma página de “atualização” falsa do navegador Google Chrome, comumente usada por cibercriminosos para atrair vítimas a baixar e instalar malware.

Analisando campanhas anteriores, os pesquisadores descobriram que Brokewell foi usado para atacar um popular serviço financeiro de “compre agora, pague depois” e um aplicativo de autenticação digital austríaco.

O malware está em desenvolvimento ativo, com novos comandos adicionados quase diariamente para capturar cada evento no dispositivo, desde pressionamentos de tecla e informações exibidas na tela até entradas de texto e aplicativos lançados pela vítima.

Uma vez baixado, Brokewell cria uma tela de sobreposição em um aplicativo alvo para capturar credenciais do usuário. Ele também pode roubar cookies do navegador lançando seu próprio WebView, substituindo o método onPageFinished e despejando os cookies de sessão após o usuário concluir o processo de login.

“Brokewell está equipado com ‘registro de acessibilidade’, capturando cada evento que acontece no dispositivo: toques, deslizamentos, informações exibidas, entrada de texto e aplicativos abertos. Todas as ações são registradas e enviadas para o servidor de comando e controle, efetivamente roubando qualquer dado confidencial exibido ou inserido no dispositivo comprometido”, apontam os pesquisadores da ThreatFabric.

“É importante destacar que, neste caso, qualquer aplicativo está em risco de comprometimento de dados: Brokewell registra cada evento, representando uma ameaça a todos os aplicativos instalados no dispositivo. Este malware também suporta uma variedade de funcionalidades de ‘spyware’: pode coletar informações sobre o dispositivo, histórico de chamadas, geolocalização e gravar áudio.”

Após roubar as credenciais, os atacantes podem iniciar um ataque de Tomada de Controle do Dispositivo usando capacidades de controle remoto para realizar streaming de tela. Ele também fornece ao ator da ameaça uma gama de vários comandos que podem ser executados no dispositivo controlado, como toques, deslizamentos e cliques em elementos especificados.

A ThreatFabric descobriu que um dos servidores usados como ponto de comando e controle (C2) para Brokewell também foi usado para hospedar um repositório chamado “Brokewell Cyber Labs”, criado por um ator de ameaça chamado “Baron Samedit”.

Este repositório compreendia o código-fonte para o “Brokewell Android Loader”, outra ferramenta do mesmo desenvolvedor projetada para contornar restrições que o Google introduziu no Android 13 e posteriores para evitar a exploração do Serviço de Acessibilidade para aplicativos carregados lateralmente (APKs).

De acordo com a ThreatFabric, Baron Samedit está ativo há pelo menos dois anos, fornecendo ferramentas a outros cibercriminosos para verificar contas roubadas de múltiplos serviços, que ainda poderiam ser aprimoradas para suportar uma operação de malware como serviço.

“Antecipamos uma evolução adicional desta família de malware, pois já observamos atualizações quase diárias do malware. Brokewell provavelmente será promovido em canais subterrâneos como um serviço de aluguel, atraindo o interesse de outros cibercriminosos e gerando novas campanhas direcionadas a diferentes regiões”, concluem os pesquisadores.

Portanto, a única maneira de identificar e prevenir efetivamente possíveis fraudes de famílias de malware como o recém-descoberto Brokewell é usar uma solução abrangente de detecção de fraudes em múltiplas camadas, baseada em uma combinação de indicadores, incluindo riscos de dispositivo, comportamento e identidade para cada cliente.

Para se proteger contra infecções por malware Android, é aconselhável evitar carregar aplicativos lateralmente ou abrir URLs curtas em mensagens de texto e ter muito cuidado ao conceder permissões aos aplicativos que você instala. Além disso, não baixe aplicativos ou atualizações de aplicativos no seu telefone Android de fora da Google Play Store.

Além disso, mantenha o Google Play Protect ativado em seu dispositivo Android o tempo todo para escanear todos os seus aplicativos atuais e quaisquer novos aplicativos que você baixar em busca de malware. Você também pode considerar instalar software antivírus adicional para Android para maior segurança.

O Google confirmou ao Securityweek que o Google Play Protect, que está ativado por padrão em dispositivos Android com Google Play Services, protege automaticamente os usuários contra versões conhecidas deste malware.

Ele também alerta os usuários ou bloqueia aplicativos conhecidos por exibir comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play.