26 de abril de 2024Sala de prensaSeguridad móvil/Cibercrimen Se están utilizando actualizaciones falsas del navegador para impulsar un malware de Android no documentado anteriormente llamado Brokewell. «Brokewell es un típico malware bancario moderno equipado con capacidades de robo de datos y control remoto integradas en el malware», dijo la firma de seguridad holandesa ThreatFabric en un análisis publicado el jueves. Se dice que el malware está en desarrollo activo y agrega nuevos comandos para capturar eventos táctiles, información textual que se muestra en la pantalla y las aplicaciones que inicia la víctima. La lista de aplicaciones de Brokewell que se hacen pasar por Google Chrome, ID Austria y Klarna es la siguiente: jcwAz.EpLIq.vcAZiUGZpK (Google Chrome) zRFxj.ieubP.lWZzwlluca (ID Austria) com.brkwl.upstracking (Klarna) Como otras aplicaciones Android recientes Brokewell, una de las familias de malware de este tipo, es capaz de eludir las restricciones impuestas por Google que impiden que las aplicaciones descargadas soliciten permisos de servicios de accesibilidad. El troyano bancario, una vez instalado y ejecutado por primera vez, solicita a la víctima que conceda permisos al servicio de accesibilidad, que posteriormente utiliza para conceder automáticamente otros permisos y llevar a cabo diversas actividades maliciosas. Esto incluye mostrar pantallas superpuestas sobre aplicaciones específicas para robar las credenciales de los usuarios. También puede robar cookies iniciando un WebView y cargando el sitio web legítimo, después de lo cual las cookies de sesión se interceptan y transmiten a un servidor controlado por el actor. Algunas de las otras características de Brokewell incluyen la capacidad de grabar audio, tomar capturas de pantalla, recuperar registros de llamadas, acceder a la ubicación del dispositivo, enumerar las aplicaciones instaladas, registrar cada evento que sucede en el dispositivo, enviar mensajes SMS, realizar llamadas telefónicas, instalar y desinstalar aplicaciones. , e incluso desactivar el servicio de accesibilidad. Los actores de amenazas también pueden aprovechar la funcionalidad de control remoto del malware para ver lo que se muestra en la pantalla en tiempo real, así como interactuar con el dispositivo mediante clics, deslizamientos y toques. Se dice que Brokewell es obra de un desarrollador que se hace llamar «Baron Samedit Marais» y gestiona el proyecto «Brokewell Cyber ​​Labs», que también incluye un cargador de Android alojado públicamente en Gitea. El cargador está diseñado para actuar como un cuentagotas que evita las restricciones de permisos de accesibilidad en las versiones 13, 14 y 15 de Android utilizando una técnica previamente adoptada por ofertas de cuentagotas como servicio (DaaS) como SecuriDropper e implementa el implante troyano. De forma predeterminada, las aplicaciones de carga generadas a través de este proceso tienen el nombre de paquete «com.brkwl.apkstore», aunque el usuario puede configurarlo proporcionando un nombre específico o habilitando el generador de nombres de paquetes aleatorios. La disponibilidad gratuita del cargador significa que podría ser adoptado por otros actores de amenazas que busquen eludir las protecciones de seguridad de Android. «En segundo lugar, las ofertas existentes de ‘Dropper-as-a-Service’ que actualmente brindan esta capacidad como característica distintiva probablemente cerrarán sus servicios o intentarán reorganizarse», dijo ThreatFabric. «Esto reduce aún más la barrera de entrada para los cibercriminales que buscan distribuir malware móvil en dispositivos modernos, facilitando que más actores entren en este campo». Actualización Un portavoz de Google compartió la siguiente declaración con The Hacker News: «Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.