近日，安全研究人員發(fā)現(xiàn)一種新型安卓銀行木馬 Brokewell，該惡意軟件幾乎“無(wú)所不能”，可以任意捕獲安卓設(shè)備上的顯示信息，文本輸入以及用戶(hù)啟動(dòng)的應(yīng)用程序。

據(jù)悉，Brokewell 惡意軟件主要通過(guò) Web 瀏覽器運(yùn)行時(shí)彈出的虛假 Google Chrome 更新進(jìn)行傳遞，具有廣泛的設(shè)備接管和遠(yuǎn)程控制功能。

Brokewell 惡意軟件詳細(xì)信息

ThreatFabric 研究人員在調(diào)查某一個(gè)虛假 Chrome 瀏覽器更新頁(yè)面時(shí)發(fā)現(xiàn) Brokewell 惡意軟件。通過(guò)仔細(xì)觀察，研究人員發(fā)現(xiàn)更新頁(yè)面會(huì)投放一個(gè)有效載荷，誘騙毫無(wú)戒心的用戶(hù)安裝惡意軟件。

合法（左）和假冒（右）Chrome 瀏覽器更新頁(yè)面

隨著調(diào)查深入，研究人員發(fā)現(xiàn) Brokewell 惡意軟件曾被用于針對(duì) "先買(mǎi)后付"的金融服務(wù)（如 Klarna），并偽裝成名為 ID Austria 的奧地利數(shù)字身份驗(yàn)證應(yīng)用程序。

用于分發(fā) Brokewell 惡意軟件的 APK

Brokewell 惡意軟件會(huì)竊取數(shù)據(jù)，并向攻擊者提供遠(yuǎn)程控制。

竊密類(lèi)型：

• 模仿目標(biāo)應(yīng)用程序的登錄屏幕來(lái)竊取憑證(覆蓋攻擊);
• 在用戶(hù)登錄合法網(wǎng)站后，使用自己的 WebView 截取并提取 cookies;
• 捕捉受害者與設(shè)備的交互，包括點(diǎn)擊、輕掃和文本輸入，以竊取設(shè)備上顯示或輸入的敏感數(shù)據(jù);
• 收集設(shè)備的硬件和軟件詳細(xì)信息;
• 檢索通話(huà)記錄
• 確定設(shè)備的物理位置;
• 使用設(shè)備的麥克風(fēng)捕捉音頻。

竊取受害者的證書(shū)

設(shè)備接管：

• 允許攻擊者實(shí)時(shí)查看設(shè)備屏幕(屏幕流);
• 在受感染設(shè)備上遠(yuǎn)程執(zhí)行觸摸和輕掃手勢(shì);
• 允許遠(yuǎn)程點(diǎn)擊指定的屏幕元素或坐標(biāo);
• 允許遠(yuǎn)程滾動(dòng)元素并在指定字段中輸入文本;
• 模擬物理按鍵，如 "返回"、"主頁(yè) "和 "收藏";
• 遠(yuǎn)程激活設(shè)備屏幕，以便捕捉任何信息;
• 將亮度和音量等設(shè)置調(diào)整為零。

ThreatFabric 在報(bào)告中披露，Brokewell 惡意軟件背后的開(kāi)發(fā)人員是一個(gè)自稱(chēng) Baron Samedit 的人，該威脅攻擊者近幾年來(lái)一直在銷(xiāo)售用于檢查被盜帳戶(hù)的工具。

威脅攻擊者的網(wǎng)站上出售的工具

值得一提的是，研究人員還發(fā)現(xiàn)了另一款名為 "Brokewell Android Loader "的工具，也是由 Samedit 開(kāi)發(fā)的，該工具托管在充當(dāng) Brokewell 命令和控制服務(wù)器的一臺(tái)服務(wù)器上，目前正在被多個(gè)網(wǎng)絡(luò)威脅攻擊者使用。

Brokewell Android Loader  工具可以幫助威脅攻擊者繞過(guò)谷歌在 Android 13 及以后版本中引入的安全措施。最后，安全專(zhuān)家強(qiáng)調(diào)，組織要保護(hù)自己免受 Android 惡意軟件感染，請(qǐng)避免從 Google Play 以外下載應(yīng)用程序或應(yīng)用程序更新，并確保 Play Protect 在您的設(shè)備上始終處于激活狀態(tài)。

參考文章：https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/