Поделиться
Богатый функциями и опасный троян под Android выдается за обновление Google Chrome
Вредонос Brokewell способен перехватывать любое взаимодействие пользователя с устройством и передаёт своим операторам полный контроль над ним. Но подхватить его можно только из неофициальных источников.
Швейцарский нож для удалённого контроля
Эксперты компании ThreatFabric обнаружили новый банковский троянец Brokewell, который распространяется под видом обновления для браузера Google Chrome. Вредонос, по-видимому, находится на стадии активной разработки, но уже сейчас это довольно функциональная и опасная программа, способная перехватывать любые события и обеспечивающая своим операторам широкие возможности по удалённому управлению заражённым устройством.
Метод распространения Brokewell достаточно типичен для подобных программ: пользователю в мобильном браузере выводится страница с рекомендацией обновить Chrome. Вместо обновления пользователь устанавливает троянца и рискует серьёзными потерями.
Ранее Brokewell также распространялся под видом австрийского приложения для цифровой аутентификации ID Austria и атаковал пользователей финансовых сервисов, таких как Klarna.
Функциональность троянца впечатляет. Он способен перекрывать экраны авторизации различных приложений (банковских, в первую очередь) своим собственным и таким образом красть логины и пароли. Кроме того, он умеет перехватывать и извлекать файлы cookie после того, как пользователь заходит на легитимный сайт. Также перехватывается любое взаимодействие пользователя с устройством, - все прикосновения к экрану, ввод текста и т.д.
Вдобавок вредонос крадёт журнал звонков, записывает аудио, используя микрофон устройства, определяет физическое расположение устройства и собирает данные о его аппаратных и программных компонентах.
Сверх этого Brokewell обеспечивает злоумышленникам возможность в режиме реального времени просматривать содержимое дисплея устройства, удалённо имитировать прикосновения к любой точке дисплея (нажимать клавиши на виртуальной клавиатуре и других элементах управления, вводить текст, перелистывать страницы и т.д.), включать и выключать экран и регулировать яркость дисплея и громкость звука устройства.
Старый знакомый
По данным специалистов ThreatFabric, Brokewell написан одним человеком, разработчиком вредоносного ПО, известным как Baron Samedit. Ранее он же занимался продажей инструментов для проверки краденых аккаунтов в разных сервисах - PayPal, American Express, Mega.nz, Dropbox, Apple и других.
Он также разработал некий загрузчик вредоносов для Android, которым пользуется множество киберпреступников. Загрузчик позволяет обходить защитные меры, реализованные в Android 13 и более поздних версиях ОС, которые блокируют злоупотребления службой специальных возможностей Accessibility Service приложениями, загруженными из неофициальных источников.
Эффективность этой защиты была поставлена под вопрос ещё в 2022 г. С конца 2023 г. стали распространяться киберкриминальные сервисы dropper-as-a-service (загрузчик-как-услуга), которые обеспечивали любым, самым сомнительным приложениям доступ ко всем функциям API Accessibility Service. В число таковых входит взаимодействие с любыми другими установленными на устройстве приложениями.
Эксперты по информационной безопасности указывают, что возможности по захвату контроля над устройствами пользуются у злоумышленников большим спросом, поскольку позволяют им производить мошеннические действия с чужих устройств.
«Ключевой метод страховки от таких вредоносов - не устанавливать ничего из неофициальных источников», — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, даже если выводится настоятельное предложение обновить браузер, мудрее и безопаснее будет сделать это вручную, зайдя на Google Play.
Как указывает издание Bleeping Computer, в Google редакции сообщили, что Google Play предусматривает автоматическую защиту от вредоносов типа Brokewell.
Короткая ссылка
