Швейцарский нож для удалённого контроля
Эксперты компании ThreatFabric обнаружили новый банковский троянец Brokewell, который распространяется под видом обновления для браузера Google Chrome. Вредонос, по-видимому, находится на стадии активной разработки, но уже сейчас это довольно функциональная и опасная программа, способная перехватывать любые события и обеспечивающая своим операторам широкие возможности по удалённому управлению заражённым устройством.
Метод распространения Brokewell достаточно типичен для подобных программ: пользователю в мобильном браузере выводится страница с рекомендацией обновить Chrome. Вместо обновления пользователь устанавливает троянца и рискует серьёзными потерями.
Ранее Brokewell также распространялся под видом австрийского приложения для цифровой аутентификации ID Austria и атаковал пользователей финансовых сервисов, таких как Klarna.
Функциональность троянца впечатляет. Он способен перекрывать экраны авторизации различных приложений (банковских, в первую очередь) своим собственным и таким образом красть логины и пароли. Кроме того, он умеет перехватывать и извлекать файлы cookie после того, как пользователь заходит на легитимный сайт. Также перехватывается любое взаимодействие пользователя с устройством, - все прикосновения к экрану, ввод текста и т.д.
Вдобавок вредонос крадёт журнал звонков, записывает аудио, используя микрофон устройства, определяет физическое расположение устройства и собирает данные о его аппаратных и программных компонентах.
Сверх этого Brokewell обеспечивает злоумышленникам возможность в режиме реального времени просматривать содержимое дисплея устройства, удалённо имитировать прикосновения к любой точке дисплея (нажимать клавиши на виртуальной клавиатуре и других элементах управления, вводить текст, перелистывать страницы и т.д.), включать и выключать экран и регулировать яркость дисплея и громкость звука устройства.
Старый знакомый
По данным специалистов ThreatFabric, Brokewell написан одним человеком, разработчиком вредоносного ПО, известным как Baron Samedit. Ранее он же занимался продажей инструментов для проверки краденых аккаунтов в разных сервисах - PayPal, American Express, Mega.nz, Dropbox, Apple и других.
Он также разработал некий загрузчик вредоносов для Android, которым пользуется множество киберпреступников. Загрузчик позволяет обходить защитные меры, реализованные в Android 13 и более поздних версиях ОС, которые блокируют злоупотребления службой специальных возможностей Accessibility Service приложениями, загруженными из неофициальных источников.
Эффективность этой защиты была поставлена под вопрос ещё в 2022 г. С конца 2023 г. стали распространяться киберкриминальные сервисы dropper-as-a-service (загрузчик-как-услуга), которые обеспечивали любым, самым сомнительным приложениям доступ ко всем функциям API Accessibility Service. В число таковых входит взаимодействие с любыми другими установленными на устройстве приложениями.
«Ключевой метод страховки от таких вредоносов - не устанавливать ничего из неофициальных источников», - говорит , директор по информационной безопасности компании SEQ. По ее словам, даже если выводится настоятельное предложение обновить браузер, мудрее и безопаснее будет сделать это вручную, зайдя на Google Play.
Как указывает издание Bleeping Computer, в Google редакции сообщили, что Google Play предусматривает автоматическую защиту от вредоносов типа Brokewell.