BROKEWELL安卓恶意软件支持广泛的设备接管功能

威胁研究人员发现了一种名为Brokewell的新型移动恶意软件，该软件配备了复杂的设备接管功能。专家指出，这种恶意软件正在不断演变，并对银行业构成严重风险。作者经常添加新的命令。攻击链以针对热门软件的虚假应用程序更新开始，例如Chrome浏览器和奥地利数字身份验证应用程序。

Brokewell利用叠加攻击在合法应用程序上覆盖一个伪造的屏幕，捕获用户凭据。恶意代码还具有窃取Cookie的能力。通过启动自己的WebView并覆盖onPageFinished方法，Brokewell加载真实的网站，在登录过程中捕获会话Cookie，并将其传输到C2服务器。

Brokewell恶意软件支持“辅助功能记录”，记录任何设备事件，如触摸、滑动、显示的信息、文本输入和已打开的应用程序。然后，它将日志传输到C2服务器，有效地捕获在受损设备上显示或输入的机密数据。专家解释说，由于Brokewell记录了每个事件，因此设备上的所有应用程序都有可能受到数据泄露的威胁。该恶意软件还支持多种“间谍软件”功能，可以收集设备信息、通话记录、地理位置信息和录音。

根据ThreatFabric发布的报告，“在窃取凭据之后，攻击者可以利用远程控制功能发起设备接管攻击。为了实现这一点，恶意软件执行屏幕流传输，并为演员提供可以在受控设备上执行的一系列操作，如触摸、滑动和点击指定元素。”Brokewell支持各种命令，允许对设备进行完全控制。该恶意软件还可以在屏幕上执行各种操作，包括触摸、滑动、点击、滚动、文本输入等。

研究人员发现，该恶意软件的一个C2服务器托管了一个名为Brokewell Cyber Labs的存储库。该存储库包含了“Brokewell Android Loader”的源代码，“Brokewell”和加载程序均由一个名为Baron Samedit的威胁行为者开发。Brokewell Android Loader可以绕过Android 13+的限制，专家认为未来可能会用于传播其他恶意软件系列。对“Baron Samedit”配置文件的分析显示，该威胁行为者至少已活动了两年，最初涉及检查跨各种服务的被盗账户的工具。

“发现了一种新的恶意软件家族Brokewell，从零开始实现设备接管功能，突显了网络犯罪分子对此类功能的持续需求。这些行为者需要此功能直接在受害者设备上进行欺诈活动，这对于严重依赖设备识别或设备指纹的欺诈检测工具构成了重大挑战。”

报告总结道。“我们预计这一恶意软件家族将进一步发展，因为我们已经观察到该恶意软件几乎每天都在更新。Brokewell很可能会作为一项租赁服务在地下渠道上推广，吸引其他网络犯罪分子的兴趣，并引发针对不同地区的新活动。”

原文始发于微信公众号（黑猫安全）：BROKEWELL安卓恶意软件支持广泛的设备接管功能