È stato ribattezzato Brokewell il nuovo malware per Android, precedentemente non documentato, che si nasconde dietro falsi aggiornamenti del browser Chrome.
Si tratta di un tipico trojan bancario capace di catturare ogni azione compiuta sul dispositivo, dalle pressioni sullo schermo e le informazioni visualizzate, all’inserimento di testo e all’avvio delle applicazioni da parte dell’utente. La sua particolare pericolosità è data anche dal fatto che è in grado di simulare tocchi sul display dello smartphone, scorrimenti delle schermate e catturare audio tramite il microfono del dispositivo.
Come se non bastasse, il nuovo trojan bancario Brokewell è in grado anche di raccogliere dettagli hardware e software sul dispositivo, recuperare i registri delle chiamate, determinare la posizione fisica del dispositivo e catturare l’audio tramite il microfono del dispositivo.
Secondo il report pubblicato dagli analisti della società di sicurezza olandese ThreatFabric, il suo codice malevole sarebbe ancora in fase di sviluppo, ma dalle prime analisi risulta essere dotato già di funzionalità avanzate tra cui quelle per il furto di dati e quelle per prendere il pieno controllo da remoto dei dispositivi compromessi.
Per riuscire a trafugare dati sensibili alla vittima, Brokewell è in grado di aggirare le restrizioni introdotte da Google in Android 13 e successivi per impedire l’abuso del servizio di accessibilità per le applicazioni caricate lateralmente (APK).
Indice degli argomenti
Capacità di furto di dati e controllo del dispositivo
Brokewell è stato scoperto dai ricercatori di ThreatFabric durante l’analisi di una pagina web che promuoveva un falso aggiornamento di Chrome, un metodo molto utilizzato dai criminal hacker per indurre gli utenti incauti al download e all’installazione di malware nascosto dentro applicazioni apparentemente innocue.
Approfondendo le tracce di campagne passate, i ricercatori hanno rivelato che Brokewell era già stato impiegato per prendere di mira i servizi finanziari “compra ora, paga dopo” e per mascherarsi come applicazione austriaca di autenticazione digitale denominata ID Austria.
Grazie all’utilizzo di attacchi di tipo overlay, Brokewell è in grado di imitare le schermate di login delle applicazioni bersaglio per rubare le credenziali di accesso delle ignare vittime.
Inoltre, sfruttando l’engine WebView integrato, il malware è anche in grado di intercettare ed estrarre i cookie di sessione dopo che un utente ha visitato un sito legittimo, trasferendoli quindi a un server controllato dall’attore della minaccia.
Subito dopo l’installazione e il primo avvio, Brokewell chiede alla vittima di concedere le autorizzazioni al servizio di accessibilità di Android, che successivamente sfrutta per concedere automaticamente altre autorizzazioni ed eseguire varie attività dannose.
Per quanto riguarda il controllo del dispositivo, Brokewell permette all’attaccante di visualizzare lo schermo del dispositivo in tempo reale, eseguire gesti di tocco e scorrimento a distanza, cliccare remotamente su elementi o coordinate specifiche dello schermo, abilitare lo scorrimento remoto all’interno degli elementi e digitare testo nei campi specificati, simulare la pressione di pulsanti fisici come Indietro, Home e Recenti, e attivare lo schermo del dispositivo a distanza per rendere qualsiasi informazione disponibile alla cattura.
Come evitare di rimanere vittime di Brokewell
Secondo quanto scoperto dai ricercatori di ThreatFabric, dietro il malware Brokewell ci sarebbe un criminal hacker che si fa chiamare Baron Samedit, specializzato proprio nella vendita di strumenti malevoli per il controllo di account rubati.
Questo dettaglio conferma come la disponibilità di operazioni di dropper ad a service (Daas) che offrono il bypass dei servizi di accessibilità di Android rappresentano un problema sempre più serio e diffuso.
I ricercatori di sicurezza sottolineano, inoltre, che le capacità di prendere il controllo dei dispositivi, così come avviene nel caso del trojan bancario Brokewell, stiano diventando sempre più richieste tra i cyber criminali in quanto consentono loro di compiere frodi direttamente dal dispositivo della vittima, eludendo così eventuali strumenti di valutazione e rilevamento.
Alla luce di ciò, non è da escludere che Brokewell venga ulteriormente sviluppato e offerto ad altri cyber criminali nei forum underground del Web come parte di un’operazione più vasta di malware-as-a-service (MaaS).
Intanto, per proteggersi dalle infezioni di malware Android è consigliabile evitare il download di app o aggiornamenti di app al di fuori di Google Play e assicurarsi che il Play Protect sia attivo sul proprio dispositivo in ogni momento.
