“Brokewell” olarak bilinen yeni bir mobil kötü amaçlı yazılım ailesinin, çok çeşitli cihazları ele geçirme yeteneklerine sahip olduğu tespit edildi.
Bu durum, saldırganlara mobil bankacılık aracılığıyla sunulan tüm kaynaklara uzaktan erişim olanağı sağlayarak bankacılık sektörünü ciddi şekilde tehdit ediyor.
Neredeyse her gün tanıtılan yeni talimatlar Truva atının hâlâ geliştirilme aşamasında olduğunu gösteriyor.
Uzmanlar, Brokewell’in büyük olasılıkla yeraltı kanalları aracılığıyla bir kiralama hizmeti olarak sunulacağını, diğer siber suçluların dikkatini çekeceğini ve farklı bölgeleri hedef alan yeni operasyonlara ilham vereceğini söylüyor.
ThreatFabric araştırmacıları Cyber Security News ile şunları paylaştı: “Bu aktörler, doğrudan kurbanların cihazlarında dolandırıcılık yapmak için bu işlevselliğe ihtiyaç duyuyor ve bu durum, ağırlıklı olarak cihaz tanımlamaya veya cihaz parmak izine dayanan sahtekarlık tespit araçları için önemli bir zorluk yaratıyor.”
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Brokewell’in Başlıca Özellikleri
Araştırmacılar, bir Android uygulaması yüklemeyi amaçlayan sahte bir tarayıcı güncelleme sayfası keşfettiler.
Bu strateji, programın daha yeni bir sürümü için bir güncelleme sunan, ustaca tasarlanmış bir web sitesiyle, tedbirsiz kurbanlar için masum ve normal tarayıcı kullanımı sırasında olduğu gibi normal görünüyor.
Araştırmacılara göre indirilen uygulama, benzeri görülmemiş yeteneklere sahip bir kötü amaçlı yazılım ailesi.
.webp)
Brokewell, kendisini uzaktan çalıştırabilen ve verileri çalabilen çağdaş bankacılık kötü amaçlı yazılımlarının klasik bir örneğidir.
Android bankacılık kötü amaçlı yazılımları için popüler bir yöntem olan yer paylaşımı saldırıları, Brokewell tarafından, sahte bir ekranı hedeflenen bir uygulama üzerinde birleştirerek kullanıcı kimlik bilgilerini elde etmek için kullanılıyor.
Brokewell ayrıca modern mobil bankacılık kötü amaçlı yazılımlarının ortak bir özelliği olan çerezleri de çalabilir.
Bunu, orijinal web sayfasını yükleyerek, onPageFinished yöntemini geçersiz kılarak ve kendi Web Görünümünü başlatarak gerçekleştirir.
Kurban başarılı bir şekilde oturum açtıktan sonra Brokewell oturum çerezlerini boşaltır ve bunları komuta ve kontrol (C2) sunucusuna gönderir.
.webp)
Brokewell, “erişilebilirlik günlüğü” özelliğiyle, dokunmalar, kaydırmalar, bilgi ekranları, metin girişi ve açılan programlar da dahil olmak üzere tüm kullanıcı etkileşimlerini kaydeder.
Etkilenen cihazda yazılan veya görülen herhangi bir özel bilgi, her eylemin kaydedilip komuta ve kontrol sunucusuna iletilmesi nedeniyle etkili bir şekilde çalınır.
Kimlik bilgilerini aldıktan sonra aktörler, Cihaz Devralma saldırısı başlatmak için uzaktan kontrol özelliklerini kullanabilir.
Bunu yapmak için, kötü amaçlı yazılım ekranı yayınlıyor ve aktörün, kontrol altındaki cihazda kullanılabilecek, belirlenen öğelere dokunma, kaydırma ve tıklama gibi çeşitli komutlara erişmesini sağlıyor.
Araştırmacılar, “Bu yetenekler, aktörler için Cihaz Devralma saldırısını kolaylaştırmak ve potansiyel olarak işlevsel bir Otomatik Transfer Sistemi (ATS) oluşturmak için belirli eylemleri otomatikleştirerek gelecekte daha da genişletilebilir” dedi.
Mobil Zararlı Yazılım Alanında Yeni Bir Aktör
Brokewell, “Baron Samedit” tarafından oluşturulan “Brokewell Cyber Labs” adlı bir veri deposunu barındırmak için kullanıldı.
Araştırmacılar, aynı geliştirici tarafından Android 13+ sürümünün yandan yüklenen uygulamalar için Erişilebilirlik Hizmetindeki kısıtlamaları aşmak amacıyla oluşturulan başka bir araç olan “Brokewell Android Loader”ın kaynak kodunun bu depoda mevcut olduğunu söylüyor.
.webp)
Bu nedenle, yakın zamanda tanımlanan Brokewell gibi kötü amaçlı yazılım ailelerinden kaynaklanan potansiyel dolandırıcılığı doğru bir şekilde tanımlamanın ve durdurmanın tek yolu, her müşteri için cihaz davranışı ve kimlik tehditleri de dahil olmak üzere göstergelerin bir kombinasyonunu temel alan kapsamlı, çok katmanlı bir dolandırıcılık tespit çözümü kullanmaktır. .
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo