fue renombrado Brokewell el nuevo malware para Android, previamente no documentado, que se esconde detrás de falsas actualizaciones del navegador Chrome.
Este es un típico troyano bancario. capaz de capturar cada acción realizada en el dispositivo, desde presionar la pantalla y la información mostrada, hasta ingresar texto e iniciar aplicaciones por parte del usuario. Su peligro particular también viene dado por el hecho de que es capaz de simular toques en la pantalla del teléfono inteligente, desplazamiento de la pantalla y capturar audio a través del micrófono del dispositivo.
Como si eso no fuera suficiente, el nuevo troyano bancario Brokewell también es capaz de recopilar detalles de hardware y software sobre el dispositivo, recuperar registros de llamadas, determinar la ubicación física del dispositivo y capturar audio a través del micrófono del dispositivo.
Según el informe publicado por los analistas de la empresa de seguridad holandesa ThreatFabric, su código malicioso aún está en fase de desarrollo, pero según los análisis iniciales parece que ya está equipado con funciones avanzadas, incluidas aquellas para robo de datos y aquellos para tomar control remoto total de los dispositivos comprometidos.
Para poder robar datos confidenciales de la víctima, Brokewell es capaz de eludir las restricciones introducido por Google en Android 13 y posteriores para evitar el abuso del servicio de accesibilidad para aplicaciones descargadas (APK).
Capacidades de control de dispositivos y robo de datos
Brokewell fue descubierto por investigadores de ThreatFabric mientras analizaban una página web que promocionaba un actualización falsa de Chromeun método ampliamente utilizado por piratas informáticos para engañar a usuarios desprevenidos para que descarguen e instalen malware oculto dentro de aplicaciones aparentemente inofensivas.
Profundizando en campañas anteriores, los investigadores revelaron que Brokewell había sido empleado anteriormente para apuntar a servicios financieros de “compre ahora, pague después” y para hacerse pasar por una aplicación de autenticación digital austriaca llamada ID Austria.
Mediante ataques de superposición, Brokewell puede imitar las pantallas de inicio de sesión de las aplicaciones de destino para robar las credenciales de inicio de sesión de víctimas desprevenidas.
Además, al aprovechar el motor WebView integrado, el malware también puede interceptar y extraer cookies de sesión después de que un usuario haya visitado un sitio legítimo y luego transferirlas a un servidor controlado por el actor de la amenaza.
Inmediatamente después de la instalación y el primer arranque, Brokewell pide a la víctima que conceda permisos al Servicio de Accesibilidad de Android, que posteriormente explota para conceder automáticamente otros permisos y realizar diversas actividades maliciosas.
En cuanto al control del dispositivo, Brokewell permite al atacante ver la pantalla del dispositivo en tiempo real, realizar gestos remotos de tocar y deslizar, hacer clic de forma remota en elementos o coordenadas específicos en la pantalla, habilitar el desplazamiento remoto dentro de elementos y escribir texto en campos específicos, simular presionar físicamente botones como Atrás, Inicio y Reciente, y active la pantalla de su dispositivo de forma remota para que cualquier información esté disponible para su captura.
Cómo evitar ser víctima de Brokewell
Según lo descubierto por los investigadores de ThreatFabric, detrás del malware Brokewell hay un hacker criminal que se hace llamar Baron Samedit, especializado en la venta de herramientas maliciosas para controlar cuentas robadas.
Este detalle confirma la disponibilidad de operaciones de cuentagotas a un servicio (Daas) que ofrecen elusión de los servicios de accesibilidad de Android representan un problema cada vez más grave y generalizado.
Los investigadores de seguridad también señalan que las capacidades para tomar el control de los dispositivos, como es el caso del troyano bancario Brokewell, son cada vez más buscadas entre los ciberdelincuentes, ya que les permiten realizar fraudes directamente desde el dispositivo de la víctima, evadiendo así cualquier evaluación. y herramientas de detección.
En vista de esto, no se puede descartar que Brokewell se desarrolle aún más y se ofrezca a otros ciberdelincuentes en foros web clandestinos como parte de un mayor malware como servicio (MaaS).
Mientras tanto, para protegerse de las infecciones de malware de Android, es recomendable evitar descargar aplicaciones o actualizaciones de aplicaciones fuera de Google Play y asegurarse de que Play Protect esté activo en su dispositivo en todo momento.
