近日,安全研究人員發現一種新型安卓銀行木馬 Brokewell,該惡意軟體幾乎“無所不能”,可以任意捕獲安卓裝置上的顯示資訊,文本輸入以及使用者啟動的應用程式。
據悉,Brokewell 惡意軟體主要通過 Web 浏覽器運作時彈出的虛假 Google Chrome 更新進行傳遞,具有廣泛的裝置接管和遠端控制功能。
Brokewell 惡意軟體詳細資訊
ThreatFabric 研究人員在調查某一個虛假 Chrome 浏覽器更新頁面時發現 Brokewell 惡意軟體。通過仔細觀察,研究人員發現更新頁面會投放一個有效載荷,誘騙毫無戒心的使用者安裝惡意軟體。
合法(左)和假冒(右)Chrome 浏覽器更新頁面
随着調查深入,研究人員發現 Brokewell 惡意軟體曾被用于針對 "先買後付"的金融服務(如 Klarna),并僞裝成名為 ID Austria 的奧地利數字身份驗證應用程式。
用于分發 Brokewell 惡意軟體的 APK
Brokewell 惡意軟體會竊取資料,并向攻擊者提供遠端控制。
竊密類型:
1、模仿目标應用程式的登入螢幕來竊取憑證(覆寫攻擊);
2、在使用者登入合法網站後,使用自己的 WebView 截取并提取 cookies;
3、捕捉受害者與裝置的互動,包括點選、輕掃和文本輸入,以竊取裝置上顯示或輸入的敏感資料;
4、收集裝置的硬體和軟體詳細資訊;
5、檢索通話記錄
6、确定裝置的實體位置;
7、使用裝置的麥克風捕捉音頻。
竊取受害者的證書
裝置接管:
1、允許攻擊者實時檢視裝置螢幕(螢幕流);
2、在受感染裝置上遠端執行觸摸和輕掃手勢;
3、允許遠端點選指定的螢幕元素或坐标;
4、允許遠端滾動元素并在指定字段中輸入文本;
5、模拟實體按鍵,如 "傳回"、"首頁 "和 "收藏";
6、遠端激活裝置螢幕,以便捕捉任何資訊;
7、将亮度和音量等設定調整為零。
ThreatFabric 在報告中披露,Brokewell 惡意軟體背後的開發人員是一個自稱 Baron Samedit 的人,該威脅攻擊者近幾年來一直在銷售用于檢查被盜帳戶的工具。
威脅攻擊者的網站上出售的工具
值得一提的是,研究人員還發現了另一款名為 "Brokewell Android Loader "的工具,也是由 Samedit 開發的,該工具托管在充當 Brokewell 指令和控制伺服器的一台伺服器上,目前正在被多個網絡威脅攻擊者使用。
Brokewell Android Loader 工具可以幫助威脅攻擊者繞過谷歌在 Android 13 及以後版本中引入的安全措施。最後,安全專家強調,組織要保護自己免受 Android 惡意軟體感染,請避免從 Google Play 以外下載下傳應用程式或應用程式更新,并確定 Play Protect 在您的裝置上始終處于激活狀态。
參考文章:
https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/