Mobile Malware von Brokewell
Cyberkriminelle nutzen betrügerische Browser-Updates, um eine neu identifizierte Android-Malware namens Brokewell zu verbreiten. Diese Malware ist ein starkes Beispiel für moderne Banking-Malware und verfügt über Funktionen, die sowohl für den Datendiebstahl als auch für die Fernsteuerung gehackter Geräte entwickelt wurden. Forscher warnen, dass Brokewell aktiv weiterentwickelt wird und laufende Updates neue Befehle einführen, die seine bösartigen Fähigkeiten erweitern, beispielsweise die Erfassung von Berührungsereignissen, Bildschirmtexten und Details zu den von Opfern gestarteten Anwendungen.
Inhaltsverzeichnis
Die mobile Malware Brokewell tarnt sich als legitime Anwendung
Brokewell tarnt sich als legitime Anwendungen wie Google Chrome, ID Austria und Klarna und verwendet die folgenden Paketnamen:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (Ausweis Österreich)
com.brkwl.upstracking (Klarna)
Ähnlich wie andere aktuelle Android-Malware umgeht Brokewell geschickt die Beschränkungen von Google, die es seitlich geladenen Anwendungen untersagen, Berechtigungen für Eingabehilfedienste anzufordern.
Bei der Installation und dem ersten Start fordert der Banking-Trojaner das Opfer auf, Berechtigungen für den Zugriffsdienst zu erteilen. Sobald diese Berechtigungen erteilt sind, werden sie verwendet, um weitere Berechtigungen zu erteilen und automatisch verschiedene bösartige Aktivitäten auszuführen.
Zu den Fähigkeiten von Brokewell gehört das Anzeigen von Overlay-Bildschirmen über gezielten Anwendungen, um Benutzeranmeldeinformationen zu sammeln. Darüber hinaus kann es Cookies extrahieren, indem es ein WebView startet, um legitime Websites zu laden, und Sitzungscookies abfängt und an einen Server sendet, der von böswilligen Akteuren kontrolliert wird.
Der Brokewell Banking Trojaner kann zahlreiche schädliche Aktionen ausführen
Zu den zusätzlichen Funktionen von Brokewell gehören die Aufnahme von Audiodaten, das Aufnehmen von Screenshots, der Zugriff auf Anrufprotokolle, das Abrufen des Gerätestandorts, das Auflisten installierter Apps, das Protokollieren aller Geräteereignisse, das Senden von SMS-Nachrichten, das Tätigen von Telefonanrufen, das Installieren und Deinstallieren von Apps und sogar das Deaktivieren des Eingabehilfedienstes.
Darüber hinaus können Bedrohungsakteure die Fernsteuerungsfunktionen der Malware ausnutzen, um Bildschirminhalte in Echtzeit anzuzeigen und durch Simulation von Klicks, Wischen und Berührungen mit dem Gerät zu interagieren.
Ein neuer Bedrohungsakteur könnte für die Brokewell Mobile Malware verantwortlich sein
Der mutmaßliche Entwickler von Brokewell tritt unter dem Pseudonym Baron Samedit auf. Forscher weisen darauf hin, dass der Bedrohungsakteur seit mindestens zwei Jahren dafür bekannt ist, Tools zur Überprüfung gestohlener Konten zu verkaufen. Die Experten haben außerdem ein weiteres Tool entdeckt, das Samedit zugeschrieben wird und „Brokewell Android Loader“ heißt. Es wird auf einem von Brokewell verwendeten Command-and-Control-Server (C2) gehostet und ist von mehreren Cyberkriminellen aufgerufen worden.
Insbesondere ist dieser Loader in der Lage, die in Android 13 und späteren Versionen implementierten Beschränkungen von Google zu umgehen, um einen Missbrauch des Accessibility Service durch sideloaded Apps (APKs) zu verhindern.
Diese Umgehung ist seit Mitte 2022 ein anhaltendes Problem und hat sich Ende 2023 mit dem Aufkommen von Dropper-as-a-Service (DaaS)-Unternehmen, die sie als Teil ihres Dienstes anbieten, sowie mit Malware, die diese Techniken in ihre angepassten Loader integriert, deutlich verschärft.
Wie das Beispiel von Brokewell zeigt, sind Loader, die Beschränkungen umgehen, die den Zugriff auf den Accessibility Service für APKs aus unzuverlässigen Kanälen verhindern, in der Cyber-Bedrohungslandschaft mittlerweile weit verbreitet.
Cyberkriminelle nutzen Malware-Tools mit Übernahmefunktionen
Sicherheitsexperten warnen, dass die Geräteübernahmefunktionen der Brokewell-Banking-Malware für Android bei Cyberkriminellen sehr gefragt sind. Diese Funktionen ermöglichen Betrugsversuche direkt vom Gerät des Opfers aus und helfen den Tätern, Betrugserkennungs- und -bewertungstools zu umgehen.
Es wird erwartet, dass Brokewell weiterentwickelt und möglicherweise im Rahmen eines Malware-as-a-Service-Angebots (MaaS) über Untergrundforen an andere Cyberkriminelle verbreitet wird.
Um sich vor Android-Malware-Infektionen zu schützen, sollten Sie keine Anwendungen oder Updates von Quellen außerhalb von Google Play herunterladen. Stellen Sie sicher, dass Google Play Protect auf Ihrem Gerät immer aktiviert ist, um die Gerätesicherheit zu erhöhen.
