Le nouveau logiciel malveillant Android « Brokewell » se propage via de fausses mises à jour de navigateur
De fausses mises à jour de navigateur sont utilisées pour diffuser un malware Android jusqu’alors non documenté appelé Brokewell .
“Brokewell est un malware bancaire moderne typique, équipé de capacités de vol de données et de contrôle à distance intégrées au malware”, a déclaré la société de sécurité néerlandaise ThreatFabric dans une analyse publiée jeudi.
Le malware serait en développement actif, ajoutant de nouvelles commandes pour capturer les événements tactiles, les informations textuelles affichées à l’écran et les applications lancées par une victime.
La liste des applications Brokewell qui se font passer pour Google Chrome, ID Austria et Klarna est la suivante :
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Autriche)
- com.brkwl.upstracking (Klarna)
Comme d’autres familles récentes de logiciels malveillants Android de ce type, Brokewell est capable de contourner les restrictions imposées par Google qui empêchent les applications téléchargées de demander des autorisations de service d’accessibilité .
Le cheval de Troie bancaire, une fois installé et lancé pour la première fois, invite la victime à accorder des autorisations au service d’accessibilité, qu’il utilise ensuite pour accorder automatiquement d’autres autorisations et mener diverses activités malveillantes.
Cela inclut l’affichage d’écrans de superposition au-dessus des applications ciblées pour voler les informations d’identification des utilisateurs. Il peut également voler des cookies en lançant une WebView et en chargeant le site Web légitime, après quoi les cookies de session sont interceptés et transmis à un serveur contrôlé par un acteur.
/>Certaines des autres fonctionnalités de Brokewell incluent la possibilité d’enregistrer de l’audio, de prendre des captures d’écran, de récupérer les journaux d’appels, d’accéder à l’emplacement de l’appareil, de répertorier les applications installées, d’enregistrer chaque événement se produisant sur l’appareil, d’envoyer des messages SMS, de passer des appels téléphoniques, d’installer et de désinstaller des applications. , et même désactiver le service d’accessibilité.
Les acteurs malveillants peuvent également exploiter la fonctionnalité de contrôle à distance du logiciel malveillant pour voir ce qui est affiché à l’écran en temps réel, ainsi qu’interagir avec l’appareil par des clics, des balayages et des touches.
Brokewell serait l’œuvre d’un développeur qui s’appelle “Baron Samedit Marais” et gère le projet “Brokewell Cyber Labs”, qui comprend également un chargeur Android hébergé publiquement sur Gitea.
Le chargeur est conçu pour agir comme un compte-gouttes qui contourne les restrictions d’autorisations d’accessibilité dans les versions Android 13, 14 et 15 en utilisant une technique précédemment adoptée par les offres de compte-gouttes en tant que service (DaaS) comme SecuriDropper et déploie l’implant du cheval de Troie.
Par défaut, les applications de chargement générées via ce processus portent le nom de package « com.brkwl.apkstore », bien que cela puisse être configuré par l’utilisateur en fournissant un nom spécifique ou en activant le générateur de nom de package aléatoire.
La disponibilité gratuite du chargeur signifie qu’il pourrait être adopté par d’autres acteurs malveillants cherchant à contourner les protections de sécurité d’Android.
« Deuxièmement, les offres « Dropper-as-a-Service » existantes qui offrent actuellement cette fonctionnalité comme caractéristique distinctive fermeront probablement leurs services ou tenteront de se réorganiser », a déclaré ThreatFabric.
« Cela réduit encore davantage la barrière à l’entrée pour les cybercriminels cherchant à distribuer des logiciels malveillants mobiles sur des appareils modernes, facilitant ainsi l’entrée d’un plus grand nombre d’acteurs sur le terrain. »