Ciberseguridad 360 | Nuevo malware bancario "Brokewell" se propaga a través de falsas actualizaciones del navegador

Se est�n utilizando falsas actualizaciones de navegadores para difundir un malware para Android llamado Brokewell.

"Brokewell es un t�pico malware bancario moderno equipado con capacidades de robo de datos y control remoto integradas en el malware", afirma la empresa de seguridad holandesa ThreatFabric en un an�lisis publicado el jueves.

Se dice que el malware est� en desarrollo activo, a�adiendo nuevos comandos para capturar eventos t�ctiles, informaci�n textual mostrada en pantalla y las aplicaciones que lanza la v�ctima.

La lista de aplicaciones de Brokewell que se hacen pasar por Google Chrome, ID Austria y Klarna es la siguiente:

cwAz.EpLIq.vcAZiUGZpK (Google Chrome)

zRFxj.ieubP.lWZzwlluca (ID Austria)

com.brkwl.upstracking (Klarna)

Al igual que otras familias recientes de malware para Android de este tipo, Brokewell es capaz de sortear las restricciones impuestas por Google que impiden que las aplicaciones cargadas desde el lateral soliciten permisos de servicios de accesibilidad.

El troyano bancario, una vez instalado y ejecutado por primera vez, pide a la v�ctima que conceda permisos al servicio de accesibilidad, que posteriormente utiliza para conceder autom�ticamente otros permisos y llevar a cabo diversas actividades maliciosas.

Esto incluye mostrar pantallas superpuestas en la parte superior de las aplicaciones objetivo para robar las credenciales de los usuarios.

Tambi�n puede robar cookies lanzando una WebView y cargando el sitio web leg�timo, tras lo cual se interceptan las cookies de sesi�n y se transmiten a un servidor controlado por el actor.

Algunas de las otras caracter�sticas de Brokewell incluyen la capacidad de grabar audio, tomar capturas de pantalla, recuperar registros de llamadas, acceder a la ubicaci�n del dispositivo, hacer una lista de las aplicaciones instaladas, grabar todos los eventos que ocurren en el dispositivo, enviar mensajes SMS, hacer llamadas telef�nicas, instalar y desinstalar aplicaciones, e incluso desactivar el servicio de accesibilidad.

Los autores de la amenaza tambi�n pueden aprovechar la funcionalidad de control remoto del malware para ver lo que se muestra en la pantalla en tiempo real, as� como interactuar con el dispositivo a trav�s de clics, deslizamientos y toques.

Se dice que Brokewell es obra de un desarrollador que responde al nombre de "Baron Samedit Marais" y gestiona el proyecto "Brokewell Cyber Labs", que tambi�n incluye un cargador de Android alojado p�blicamente en Gitea.

El cargador est� dise�ado para actuar como un dropper que elude las restricciones de permisos de accesibilidad en las versiones 13, 14 y 15 de Android utilizando una t�cnica adoptada previamente por ofertas de dropper-as-a-service (DaaS) como SecuriDropper y desplegar el implante troyano.

Por defecto, las aplicaciones de carga generadas a trav�s de este proceso tienen el nombre de paquete "com.brkwl.apkstore", aunque el usuario puede configurarlo proporcionando un nombre espec�fico o activando el generador de nombres de paquetes aleatorios.

La disponibilidad gratuita del cargador significa que podr�a ser adoptado por otros actores de amenazas que buscan eludir las protecciones de seguridad de Android.

"En segundo lugar, las ofertas existentes de "Dropper-as-a-Service" que actualmente ofrecen esta capacidad como una caracter�stica distintiva probablemente cerrar�n sus servicios o intentar�n reorganizarse", dijo ThreatFabric.

"Esto reduce a�n m�s la barrera de entrada para los ciberdelincuentes que buscan distribuir malware m�vil en dispositivos modernos, lo que facilita que m�s actores entren en este campo."

Fuente: thehackernews