Il a été renommé Brokewell le nouveau malware Android, jusqu’alors non documenté, qui se cache derrière de fausses mises à jour du navigateur Chrome.
Il s’agit d’un cheval de Troie bancaire typique capable de capturer chaque action effectuée sur l’appareil, de l’appui sur l’écran et des informations affichées, à la saisie de texte et au démarrage d’applications par l’utilisateur. Son danger particulier vient également du fait qu’il est capable de simuler des touches sur l’écran du smartphone, le défilement des écrans et de capturer l’audio via le microphone de l’appareil.
Comme si cela ne suffisait pas, le nouveau cheval de Troie bancaire Brokewell est également capable de collecter des informations matérielles et logicielles sur l’appareil, de récupérer les journaux d’appels, de déterminer l’emplacement physique de l’appareil et de capturer l’audio via le microphone de l’appareil.
Selon le rapport publié par les analystes de la société de sécurité néerlandaise ThreatFabric, son code malveillant est encore en phase de développement, mais d’après les premières analyses, il semble déjà doté de fonctionnalités avancées, notamment celles pour Le vol de données et ceux pour prenez le contrôle total à distance des appareils compromis.
Pour pouvoir voler les données sensibles de la victime, Brokewell est capable de contourner les restrictions introduit par Google dans Android 13 et versions ultérieures pour empêcher les abus du service d’accessibilité pour les applications téléchargées (APK).
Capacités de vol de données et de contrôle des appareils
Brokewell a été découvert par les chercheurs de ThreatFabric alors qu’ils analysaient une page Web faisant la promotion d’un fausse mise à jour de Chromeune méthode largement utilisée par les pirates informatiques pour inciter les utilisateurs imprudents à télécharger et à installer des logiciels malveillants cachés dans des applications apparemment inoffensives.
En approfondissant les campagnes passées, les chercheurs ont révélé que Brokewell avait déjà été utilisé pour cibler les services financiers « achetez maintenant, payez plus tard » et pour se faire passer pour une application autrichienne d’authentification numérique appelée ID Austria.
Grâce à des attaques par superposition, Brokewell est capable d’imiter les écrans de connexion des applications cibles pour voler les informations de connexion de victimes sans méfiance.
De plus, en exploitant le moteur WebView intégré, le malware est également capable d’intercepter et d’extraire les cookies de session après qu’un utilisateur a visité un site légitime, puis de les transférer vers un serveur contrôlé par l’acteur malveillant.
Immédiatement après l’installation et le premier démarrage, Brokewell demande à la victime d’accorder des autorisations au service d’accessibilité Android, qu’il exploite ensuite pour accorder automatiquement d’autres autorisations et effectuer diverses activités malveillantes.
Concernant le contrôle de l’appareil, Brokewell permet à l’attaquant de visualiser l’écran de l’appareil en temps réel, d’effectuer des gestes de tapotement et de balayage à distance, de cliquer à distance sur des éléments ou des coordonnées spécifiques sur l’écran, d’activer le défilement à distance dans les éléments et de saisir du texte dans des champs spécifiés, de simuler une pression physique. boutons tels que Retour, Accueil et Récent, et activez l’écran de votre appareil à distance pour rendre toute information disponible pour la capture.
Comment éviter d’être victime de Brokewell
Selon ce qui a été découvert par les chercheurs de ThreatFabric, derrière le malware Brokewell se cache un hacker criminel qui se fait appeler Baron Samedit, spécialisé dans la vente d’outils malveillants pour contrôler les comptes volés.
Ce détail confirme la disponibilité de opérations de compte-gouttes vers un service (Daas) qui permettent de contourner les services d’accessibilité Android représentent un problème de plus en plus grave et répandu.
Les chercheurs en sécurité soulignent également que les capacités de prise de contrôle des appareils, comme c’est le cas du cheval de Troie bancaire Brokewell, sont de plus en plus recherchées par les cybercriminels, car elles leur permettent de commettre des fraudes directement depuis l’appareil de la victime, échappant ainsi à toute évaluation. et des outils de détection.
Dans ce contexte, il ne peut être exclu que Brokewell soit développé davantage et proposé à d’autres cybercriminels sur des forums Web clandestins dans le cadre d’un programme plus vaste. malware en tant que service (MaaS).
En attendant, pour vous protéger contre les infections par des logiciels malveillants Android, il est conseillé d’éviter de télécharger des applications ou des mises à jour d’applications en dehors de Google Play et de vous assurer que Play Protect est actif à tout moment sur votre appareil.
