Er worden valse browserupdates gebruikt om een voorheen ongedocumenteerde Android-malware te pushen, genaamd Brokewell.
“Brokewell is een typische moderne bankmalware die is uitgerust met zowel gegevensstelen als afstandsbedieningsmogelijkheden die in de malware zijn ingebouwd”, zei het Nederlandse beveiligingsbedrijf ThreatFabric in een donderdag gepubliceerde analyse.
Er wordt gezegd dat de malware in actieve ontwikkeling is en nieuwe opdrachten toevoegt om aanraakgebeurtenissen, tekstuele informatie die op het scherm wordt weergegeven en de applicaties die een slachtoffer start, vast te leggen.
De lijst met Brokewell-apps die zich voordoen als Google Chrome, ID Austria en Klarna is als volgt:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Oostenrijk)
- com.brkwl.upstracking (Klarna)
Net als andere recente Android-malwarefamilies in zijn soort, is Brokewell in staat om door Google opgelegde beperkingen te omzeilen die voorkomen dat sideloaded apps toestemming voor toegankelijkheidsdiensten vragen.
De banktrojan vraagt het slachtoffer, zodra hij voor de eerste keer is geïnstalleerd en gelanceerd, toestemming te verlenen aan de toegankelijkheidsdienst, die hij vervolgens gebruikt om automatisch andere toestemmingen te verlenen en verschillende kwaadaardige activiteiten uit te voeren.
Dit omvat het weergeven van overlay-schermen bovenop gerichte apps om gebruikersgegevens te stelen. Het kan ook cookies stelen door een WebView te starten en de legitieme website te laden, waarna de sessiecookies worden onderschept en naar een door een actor bestuurde server worden verzonden.
Enkele van de andere functies van Brokewell zijn onder meer de mogelijkheid om audio op te nemen, schermafbeeldingen te maken, oproeplogboeken op te halen, toegang te krijgen tot de locatie van het apparaat, een lijst te maken van geïnstalleerde apps, elke gebeurtenis op het apparaat op te nemen, sms-berichten te verzenden, te bellen, apps te installeren en te verwijderen en schakel zelfs de toegankelijkheidsservice uit.
De bedreigingsactoren kunnen ook gebruikmaken van de afstandsbedieningsfunctionaliteit van de malware om in realtime te zien wat er op het scherm wordt weergegeven, en om met het apparaat te communiceren door middel van klikken, vegen en aanraken.
Er wordt gezegd dat Brokewell het werk is van een ontwikkelaar die de naam “Baron Samedit Marais” draagt en het project “Brokewell Cyber Labs” beheert, dat ook een Android Loader omvat die publiekelijk wordt gehost op Gitea.
De lader is ontworpen om te fungeren als een dropper die de beperkingen van de toegankelijkheidsrechten in Android-versies 13, 14 en 15 omzeilt met behulp van een techniek die eerder werd toegepast door dropper-as-a-service (DaaS) -aanbiedingen zoals SecuriDropper en het trojan-implantaat implementeert.
Standaard hebben de lader-apps die via dit proces worden gegenereerd de pakketnaam “com.brkwl.apkstore”, hoewel dit door de gebruiker kan worden geconfigureerd door een specifieke naam op te geven of door de willekeurige pakketnaamgenerator in te schakelen.
De gratis beschikbaarheid van de lader betekent dat deze kan worden omarmd door andere bedreigingsactoren die de beveiligingsmaatregelen van Android willen omzeilen.
“Ten tweede zullen bestaande 'Dropper-as-a-Service'-aanbiedingen die deze mogelijkheid momenteel als onderscheidend kenmerk bieden, waarschijnlijk hun diensten beëindigen of proberen te reorganiseren”, aldus ThreatFabric.
“Dit verlaagt de toegangsdrempel voor cybercriminelen die mobiele malware op moderne apparaten willen verspreiden verder, waardoor het voor meer actoren gemakkelijker wordt om het veld te betreden.”
