Es wurde umbenannt Brokewell die neue, bisher undokumentierte Android-Malware versteckt sich hinter gefälschten Chrome-Browser-Updates.
Dies ist ein typischer Banking-Trojaner ist in der Lage, jede auf dem Gerät ausgeführte Aktion zu erfassen, vom Drücken des Bildschirms und den angezeigten Informationen bis hin zur Texteingabe und dem Starten von Anwendungen durch den Benutzer. Seine besondere Gefahr besteht auch darin, dass es Berührungen auf dem Smartphone-Display, das Scrollen der Bildschirme und die Audioaufnahme über das Mikrofon des Geräts simulieren kann.
Als ob das nicht genug wäre, ist der neue Brokewell-Banking-Trojaner auch in der Lage, Hardware- und Softwaredetails über das Gerät zu sammeln, Anrufprotokolle abzurufen, den physischen Standort des Geräts zu bestimmen und Audio über das Mikrofon des Geräts aufzuzeichnen.
Laut dem von Analysten des niederländischen Sicherheitsunternehmens ThreatFabric veröffentlichten Bericht befindet sich der Schadcode noch in der Entwicklungsphase, scheint ersten Analysen zufolge jedoch bereits mit erweiterten Funktionen ausgestattet zu sein, darunter auch für Datendiebstahl und die dafür Übernehmen Sie die vollständige Fernsteuerung kompromittierter Geräte.
Um dem Opfer, Brokewell, sensible Daten stehlen zu können ist in der Lage, die Beschränkungen zu umgehen von Google in Android 13 und höher eingeführt, um den Missbrauch des Barrierefreiheitsdienstes für seitlich geladene Anwendungen (APKs) zu verhindern.
Datendiebstahl und Gerätekontrollfunktionen
Brokewell wurde von ThreatFabric-Forschern bei der Analyse einer Webseite entdeckt, die für a wirbt gefälschtes Chrome-Updateeine von kriminellen Hackern weit verbreitete Methode, um unvorsichtige Benutzer dazu zu verleiten, in scheinbar harmlosen Anwendungen versteckte Malware herunterzuladen und zu installieren.
Bei einer genaueren Untersuchung vergangener Kampagnen stellten die Forscher fest, dass Brokewell zuvor eingesetzt worden war, um Finanzdienstleistungen nach dem Motto „Jetzt kaufen, später bezahlen“ anzusprechen und sich als österreichische digitale Authentifizierungsanwendung namens ID Austria auszugeben.
Durch Overlay-Angriffe ist Brokewell in der Lage, die Anmeldebildschirme von Zielanwendungen zu imitieren, um die Anmeldeinformationen ahnungsloser Opfer zu stehlen.
Darüber hinaus ist die Malware durch die Nutzung der integrierten WebView-Engine auch in der Lage, Sitzungscookies abzufangen und zu extrahieren, nachdem ein Benutzer eine legitime Website besucht hat, und sie dann an einen vom Bedrohungsakteur kontrollierten Server zu übertragen.
Unmittelbar nach der Installation und dem ersten Start fordert Brokewell das Opfer auf, Berechtigungen für den Android Accessibility Service zu erteilen, den es anschließend ausnutzt, um automatisch andere Berechtigungen zu erteilen und verschiedene böswillige Aktivitäten auszuführen.
In Bezug auf die Gerätesteuerung ermöglicht Brokewell dem Angreifer, den Gerätebildschirm in Echtzeit anzuzeigen, Ferntipp- und Wischgesten auszuführen, aus der Ferne auf bestimmte Elemente oder Koordinaten auf dem Bildschirm zu klicken, das Fernscrollen innerhalb von Elementen zu ermöglichen und Text in bestimmte Felder einzugeben sowie das Simulieren von physischem Drücken Klicken Sie auf Schaltflächen wie „Zurück“, „Startseite“ und „Zuletzt verwendet“ und aktivieren Sie den Bildschirm Ihres Geräts aus der Ferne, um alle Informationen zur Erfassung verfügbar zu machen.
So vermeiden Sie, Opfer von Brokewell zu werden
Den Erkenntnissen der ThreatFabric-Forscher zufolge steckt hinter der Brokewell-Malware ein krimineller Hacker, der sich Baron Samedit nennt und auf den Verkauf bösartiger Tools zur Kontrolle gestohlener Konten spezialisiert ist.
Dieses Detail bestätigt die Verfügbarkeit von Dropper-Operationen zu einem Dienst (Daas) die eine Umgehung von Android-Eingabehilfen ermöglichen, stellen ein immer ernsteres und weitverbreiteteres Problem dar.
Sicherheitsforscher weisen außerdem darauf hin, dass die Möglichkeit, die Kontrolle über Geräte zu übernehmen, wie im Fall des Banktrojaners Brokewell, bei Cyberkriminellen immer gefragter wird, da sie es ihnen ermöglichen, Betrug direkt vom Gerät des Opfers aus zu begehen und sich somit jeder Auswertung zu entziehen und Erkennungstools.
Vor diesem Hintergrund kann nicht ausgeschlossen werden, dass Brokewell weiterentwickelt und im Rahmen eines größeren Programms anderen Cyberkriminellen in Untergrund-Webforen angeboten wird Malware-as-a-Service (MaaS).
Um sich vor Android-Malware-Infektionen zu schützen, ist es jedoch ratsam, das Herunterladen von Apps oder App-Updates außerhalb von Google Play zu vermeiden und sicherzustellen, dass Play Protect jederzeit auf Ihrem Gerät aktiv ist.
