Pesquisadores de segurança descobriram um novo trojan bancário para Android, batizado de Brokewell, capaz de capturar cada evento no dispositivo, desde toques e informações exibidas até a entrada de texto e os aplicativos lançados pelo usuário.
O malware é distribuído por meio de uma falsa atualização do Google Chrome, que é exibida enquanto se utiliza o navegador web.
Brokewell está em desenvolvimento ativo e apresenta uma mistura de capacidades extensivas de tomada de controle do dispositivo e controle remoto.
Pesquisadores da empresa de risco de fraude ThreatFabric encontraram o Brokewell após investigarem uma página falsa de atualização do Chrome que liberava um payload, um método comum para enganar usuários desavisados a instalarem malware.
Analisando campanhas anteriores, os pesquisadores descobriram que Brokewell havia sido usado anteriormente para mirar em serviços financeiros de "compre agora, pague depois" (por exemplo, Klarna) e se passando por uma aplicação de autenticação digital austríaca chamada ID Austria.
As principais capacidades do Brokewell são roubar dados e oferecer controle remoto aos atacantes.
Roubo de dados:
- Imita as telas de login de aplicativos visados para roubar credenciais (ataques de overlay).
- Usa seu próprio WebView para interceptar e extrair cookies após um usuário fazer login em um site legítimo.
- Captura a interação da vítima com o dispositivo, incluindo toques, deslizes e entradas de texto, para roubar dados sensíveis exibidos ou inseridos no dispositivo.
- Coleta detalhes de hardware e software do dispositivo.
- Recupera os registros de chamadas.
- Determina a localização física do dispositivo.
- Capta áudio usando o microfone do dispositivo.
Tomada de controle do dispositivo:
- Permite ao atacante ver a tela do dispositivo em tempo real (screen streaming).
- Executa gestos de toque e deslize remotamente no dispositivo infectado.
- Permite clicar remotamente em elementos especificados na tela ou coordenadas.
- Habilita a rolagem remota dentro dos elementos e digitação de texto em campos especificados.
- Simula pressionamentos de botões físicos como Voltar, Início e Recentes.
- Ativa a tela do dispositivo remotamente para tornar qualquer informação disponível para captura.
- Ajusta configurações como brilho e volume para zero.
A ThreatFabric informa que o desenvolvedor por trás do Brokewell é um indivíduo que se autodenomina Baron Samedit, que há pelo menos dois anos vendia ferramentas para verificar contas roubadas.
Os pesquisadores descobriram outra ferramenta chamada "Brokewell Android Loader", também desenvolvida por Samedit.
A ferramenta foi hospedada em um dos servidores que atuam como servidor de comando e controle para o Brokewell e é usada por vários cibercriminosos.
Curiosamente, esse loader pode contornar as restrições que o Google introduziu no Android 13 e posteriores para prevenir o abuso do Accessibility Service por apps sideloaded (APKs).
Esse contorno tem sido um problema desde meados de 2022 e se tornou uma preocupação maior no final de 2023 com a disponibilidade de operações de dropper-as-a-service (DaaS) oferecendo-o como parte de seu serviço, bem como malware incorporando as técnicas em seus loaders personalizados.
Como destacado com o Brokewell, loaders que burlam restrições para impedir o acesso do Accessibility Service a APKs baixados de fontes duvidosas agora se tornaram comuns e amplamente implantados na natureza.
Os pesquisadores de segurança alertam que capacidades de tomada de controle do dispositivo, como as disponíveis no banker Brokewell para Android, estão em alta demanda entre os cibercriminosos porque permite que eles realizem a fraude a partir do dispositivo da vítima, evitando assim ferramentas de avaliação e detecção de fraudes.
Eles esperam que o Brokewell seja ainda mais desenvolvido e oferecido a outros cibercriminosos em fóruns clandestinos como parte de uma operação de malware-as-a-service (MaaS).
Para se proteger de infecções por malware Android, evite baixar apps ou atualizações de app de fora do Google Play e garanta que o Play Protect esteja ativo em seu dispositivo o tempo todo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...