安全研究人员发现了一种新的安卓银行木马,他们将其命名为Brokewell,该木马可以捕获设备上的每一个事件,从触摸和显示的信息到文本输入和用户启动的应用程序。
该恶意软件是通过在使用网络浏览器时显示的虚假谷歌Chrome浏览器更新来传递的。Brokewell正在积极开发中,具有广泛的设备接管和远程控制功能。
Brokewell细节
欺诈风险公司ThreatFabric的研究人员在调查了一个虚假的Chrome更新页面后发现了Brokewell,该页面丢失了有效载荷,这是一种欺骗不知情的用户安装恶意软件的常用方法。
合法(左)和假(右)Chrome更新页面
回顾过去的活动,研究人员发现,Brokewell之前曾被用来瞄准“现在购买,以后支付”的金融服务(例如Klarna),并伪装成一个名为ID Austria的奥地利数字认证应用程序。
用于分发Brokewell的apk
Brokewell的主要功能是窃取数据并为攻击者提供远程控制。
数据窃取:
-
模仿目标应用程序的登录屏幕以窃取凭证(覆盖攻击)。
-
使用自己的WebView拦截和提取cookie后,用户登录到一个合法的网站。
-
捕获受害者与设备的交互,包括轻击、滑动和文本输入,以窃取设备上显示或输入的敏感数据。
-
收集有关设备的硬件和软件详细信息。
-
检索通话记录。
-
确定设备的物理位置。
-
使用设备的麦克风捕获音频。
窃取受害者的证件
设备收购:
-
允许攻击者实时看到设备的屏幕(屏幕流)。
-
在受感染的设备上远程执行触摸和滑动手势。
-
允许远程点击指定的屏幕元素或坐标。
-
允许在元素内远程滚动,并在指定字段中键入文本。
-
模拟物理按钮按下,如返回,Home和最近。
-
远程激活设备的屏幕,使任何信息可用于捕获。
-
调整设置,如亮度和音量一直到零。
新的威胁演员和加载器
ThreatFabric报告称,Brokewell背后的开发者是一个自称男爵的人,他至少两年来一直在销售检查被盗账户的工具。
威胁演员网站上出售的工具
研究人员发现了另一个名为“Brokewell Android Loader”的工具,也是由Samedit开发的。该工具托管在Brokewell的一个服务器上,充当命令和控制服务器,被多个网络犯罪分子使用。
有趣的是,这个加载器可以绕过谷歌在Android 13和以后引入的限制,以防止滥用辅助功能服务的侧加载应用(apk)。
自2022年年中以来,这种绕过一直是一个问题,并在2023年底成为一个更大的问题,因为drop -as-a-service (DaaS)操作的可用性将其作为其服务的一部分,以及恶意软件将该技术纳入其自定义加载程序。
正如Brokewell所强调的那样,绕过限制以防止授予可访问性服务访问从阴暗来源下载的apk的加载器现在已经变得普遍并被广泛部署。
安全研究人员警告称,像Brokewell银行针对Android提供的设备接管功能在网络犯罪分子中非常受欢迎,因为它允许他们从受害者的设备上执行欺诈,从而逃避欺诈评估和检测工具。
他们预计Brokewell会被进一步开发,并作为恶意软件即服务(MaaS)行动的一部分,在地下论坛上提供给其他网络罪犯。
为了保护自己免受Android恶意软件感染,请避免从Google Play之外下载应用程序或应用程序更新,并确保Play protect在您的设备上始终处于激活状态。
谷歌已经向BleepingComputer证实,Google Play Protect会自动保护用户免受已知版本的恶意软件攻击
原文始发于微信公众号(HackSee):新的恶意软件入侵安卓设备,窃取数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论