Малварь для Android взламывает банковские счета с помощью поддельных запросов на обновление Chrome

Исследователи безопасности обнаружили новый банковский троян для Android, который может украсть конфиденциальную информацию пользователей и позволить злоумышленникам удаленно управлять зараженными устройствами.

“Brokewell — это типичная современная банковская малварь, оснащенная как функциями кражи данных, так и возможностями удаленного управления, встроенными в малварь,” — заявила голландская компания ThreatFabric в анализе, опубликованном в четверг.

Согласно ThreatFabric, Brokewell представляет собой значительную угрозу для банковской отрасли, предоставляя злоумышленникам удаленный доступ ко всем активам, доступным через мобильный банкинг. Малварь была обнаружена исследователями во время расследования поддельной страницы “обновления” веб-браузера Google Chrome, часто используемой киберпреступниками для заманивания жертв в загрузку и установку малвари.

Изучая предыдущие кампании, исследователи обнаружили, что Brokewell использовался для нацеливания на популярный финансовый сервис “купи сейчас, заплати позже” и австрийское приложение для цифровой аутентификации.

Сообщается, что малварь находится в активной разработке, с новыми командами, добавляемыми почти ежедневно, чтобы захватить каждое событие на устройстве, от нажатий клавиш и информации, отображаемой на экране, до текстовых вводов и приложений, запущенных жертвой.

После загрузки Brokewell создает экран наложения на целевом приложении для захвата учетных данных пользователя. Он также может украсть куки браузера, запустив свой собственный WebView, переопределив метод onPageFinished и сбросив куки сессии после завершения процесса входа пользователя.

“Brokewell оснащен функцией “доступности логирования”, захватывающей каждое событие, происходящее на устройстве: касания, свайпы, отображаемую информацию, текстовый ввод и открытые приложения. Все действия записываются и отправляются на сервер командования и управления, эффективно крадя любые конфиденциальные данные, отображаемые или вводимые на скомпрометированном устройстве,” — отмечают исследователи ThreatFabric.

“Важно подчеркнуть, что в этом случае любое приложение подвержено риску компрометации данных: Brokewell записывает каждое событие, представляя угрозу для всех приложений, установленных на устройстве. Этот вредоносный код также поддерживает различные функции “шпионского ПО”: он может собирать информацию о устройстве, историю звонков, геолокацию и записывать аудио.”

После кражи учетных данных злоумышленники могут инициировать атаку захвата устройства, используя возможности удаленного управления для выполнения потоковой передачи экрана. Это также предоставляет злоумышленнику ряд различных команд, которые могут быть выполнены на контролируемом устройстве, таких как касания, свайпы и клики по указанным элементам.

ThreatFabric обнаружил, что один из серверов, используемых в качестве пункта командования и управления (C2) для Brokewell, также использовался для размещения репозитория под названием “Brokewell Cyber Labs,” созданного злоумышленником по имени “Baron Samedit.”

Этот репозиторий содержал исходный код для “Brokewell Android Loader,” еще одного инструмента от того же разработчика, предназначенного для обхода ограничений, введенных Google в Android 13 и позже, чтобы предотвратить эксплуатацию службы доступности для сторонних приложений (APKs).

Согласно ThreatFabric, Baron Samedit активен как минимум два года, предоставляя инструменты другим киберпреступникам для проверки украденных учетных записей из нескольких сервисов, которые все еще могут быть улучшены для поддержки операций по модели малварь как услуга.

“Мы ожидаем дальнейшей эволюции этой семейства малвари, так как мы уже наблюдали почти ежедневные обновления малвари. Brokewell, вероятно, будет продвигаться на подпольных каналах как арендная услуга, привлекая интерес других киберпреступников и вызывая новые кампании, нацеленные на разные регионы,” — заключают исследователи.

Таким образом, единственный способ эффективно идентифицировать и предотвратить потенциальное мошенничество от семейства малвари, таких как недавно обнаруженный Brokewell, — это использовать комплексное, многоуровневое решение для обнаружения мошенничества, основанное на комбинации индикаторов, включая риски устройства, поведения и идентичности для каждого клиента.

Чтобы защитить себя от инфекций малварью для Android, рекомендуется избегать установки приложений из сторонних источников или открытия коротких URL в текстовых сообщениях и быть очень осторожным при предоставлении разрешений приложениям, которые вы устанавливаете. Кроме того, не загружайте приложения или обновления приложений на свой телефон Android из-за пределов Google Play Store.

Кроме того, всегда держите Google Play Protect включенным на вашем устройстве Android, чтобы сканировать все ваши текущие приложения и любые новые приложения, которые вы загружаете, на наличие малвари. Вы также можете рассмотреть возможность установки дополнительного антивирусного программного обеспечения для Android для повышения безопасности.

Google подтвердил Securityweek, что Google Play Protect, который включен по умолчанию на устройствах Android с Google Play Services, автоматически защищает пользователей от известных версий этой малвари.

Он также предупреждает пользователей или блокирует приложения, известные своим вредоносным поведением, даже если эти приложения поступают из источников вне Play.