Sahte tarayıcı güncellemeleri, daha önce belgelenmemiş bir Android kötü amaçlı yazılımını aktarmak için kullanılıyor. Brokewell.
Hollandalı güvenlik firması ThreatFabric Perşembe günü yayınlanan bir analizde, “Brokewell, kötü amaçlı yazılımın hem veri çalma hem de uzaktan kontrol yetenekleriyle donatılmış tipik bir modern bankacılık kötü amaçlı yazılımıdır.” dedi.
Kötü amaçlı yazılımın aktif olarak geliştirildiği ve dokunma olaylarını, ekranda görüntülenen metinsel bilgileri ve kurbanın başlattığı uygulamaları yakalamak için yeni komutlar eklediği söyleniyor.
Google Chrome, ID Avusturya ve Klarna gibi görünen Brokewell uygulamalarının listesi aşağıdaki gibidir:
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Avusturya)
- com.brkwl.uptracking (Klarna)
Kendi türündeki diğer yeni Android kötü amaçlı yazılım aileleri gibi Brokewell de Google tarafından uygulanan ve dışarıdan yüklenen uygulamaların erişilebilirlik hizmeti izinleri istemesini engelleyen kısıtlamaları aşma yeteneğine sahiptir.
Bankacılık truva atı ilk kez yüklenip başlatıldığında, kurbandan erişilebilirlik hizmetine izin vermesini ister ve daha sonra bu izinleri otomatik olarak başka izinler vermek ve çeşitli kötü amaçlı faaliyetler gerçekleştirmek için kullanır.
Buna, kullanıcı kimlik bilgilerini çalmak için hedeflenen uygulamaların üzerinde yer paylaşımı ekranlarının görüntülenmesi de dahildir. Ayrıca bir Web Görünümü başlatarak ve yasal web sitesini yükleyerek çerezleri çalabilir, ardından oturum çerezleri ele geçirilir ve aktör tarafından kontrol edilen bir sunucuya iletilir.
Brokewell’in diğer özelliklerinden bazıları arasında ses kaydetme, ekran görüntüsü alma, çağrı kayıtlarını alma, cihazın konumuna erişme, yüklü uygulamaları listeleme, cihazda meydana gelen her olayı kaydetme, SMS mesajları gönderme, telefon görüşmeleri yapma, uygulamaları yükleme ve kaldırma yer alır. ve hatta erişilebilirlik hizmetini devre dışı bırakın.
Tehdit aktörleri, ekranda gerçek zamanlı olarak görüntülenenleri görmek ve tıklamalar, kaydırmalar ve dokunuşlar yoluyla cihazla etkileşime geçmek için kötü amaçlı yazılımın uzaktan kontrol işlevinden de yararlanabilir.
Brokewell’in “Baron Samedit Marais” adını alan ve aynı zamanda Gitea’da halka açık olarak barındırılan bir Android Yükleyiciyi de içeren “Brokewell Cyber Labs” projesini yöneten bir geliştiricinin eseri olduğu söyleniyor.
Yükleyici, daha önce SecuriDropper gibi hizmet olarak damlatıcı (DaaS) teklifleri tarafından benimsenen bir tekniği kullanarak Android 13, 14 ve 15 sürümlerindeki erişilebilirlik izin kısıtlamalarını atlayan bir damlalık görevi görecek ve truva atı implantını dağıtacak şekilde tasarlandı.
Varsayılan olarak, bu işlem yoluyla oluşturulan yükleyici uygulamaları “com.brkwl.apkstore” paket adına sahiptir, ancak bu, kullanıcı tarafından belirli bir ad sağlayarak veya rastgele paket adı oluşturucuyu etkinleştirerek yapılandırılabilir.
Yükleyicinin ücretsiz olarak kullanılabilir olması, Android’in güvenlik korumalarını atlatmak isteyen diğer tehdit aktörleri tarafından da benimsenebileceği anlamına geliyor.
ThreatFabric, “İkincisi, şu anda bu özelliği ayırt edici bir özellik olarak sunan mevcut ‘Hizmet Olarak Damlalık’ teklifleri muhtemelen ya hizmetlerini kapatacak ya da yeniden organize olmaya çalışacak” dedi.
“Bu, modern cihazlara mobil kötü amaçlı yazılım dağıtmak isteyen siber suçluların giriş engelini daha da azaltarak, daha fazla aktörün sahaya girmesini kolaylaştırıyor.”