Các bản cập nhật trình duyệt giả mạo đang được sử dụng để đẩy một phần mềm độc hại Android chưa được ghi nhận trước đây có tên Brokewell.
"Brokewell là một phần mềm độc hại ngân hàng hiện đại điển hình được trang bị cả khả năng đánh cắp dữ liệu và điều khiển từ xa được tích hợp trong phần mềm độc hại", công ty bảo mật Hà Lan ThreatFabric cho biết trong một phân tích được công bố hôm thứ Năm.
Phần mềm độc hại được cho là đang được phát triển tích cực, thêm các lệnh mới để nắm bắt các sự kiện cảm ứng, thông tin văn bản hiển thị trên màn hình và các ứng dụng mà nạn nhân khởi chạy.
Danh sách các ứng dụng Brokewell giả mạo Google Chrome, ID Austria và Klarna như sau -
- jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
- zRFxj.ieubP.lWZzwlluca (ID Áo)
- com.brkwl.upstracking (Klarna)
Giống như các họ phần mềm độc hại Android gần đây khác, Brokewell có khả năng vượt qua các hạn chế do Google áp đặt để ngăn các ứng dụng tải từ bên ngoài yêu cầu quyền dịch vụ trợ năng.
Một số tính năng khác của Brokewell bao gồm khả năng ghi lại âm thanh, chụp ảnh màn hình, truy xuất nhật ký cuộc gọi, truy cập vị trí thiết bị, liệt kê các ứng dụng đã cài đặt, ghi lại mọi sự kiện xảy ra trên thiết bị, gửi tin nhắn SMS, thực hiện cuộc gọi điện thoại, cài đặt và gỡ cài đặt ứng dụng và thậm chí tắt dịch vụ trợ năng.
Các tác nhân đe dọa cũng có thể tận dụng chức năng điều khiển từ xa của phần mềm độc hại để xem những gì được hiển thị trên màn hình trong thời gian thực, cũng như tương tác với thiết bị thông qua nhấp chuột, vuốt và chạm.
Brokewell được cho là tác phẩm của một nhà phát triển có tên là "Baron Samedit Marais" và quản lý dự án "Brokewell Cyber Labs", bao gồm một Android Loader được lưu trữ công khai trên Gitea.
Trình tải được thiết kế để hoạt động như một trình nhỏ giọt vượt qua các hạn chế về quyền truy cập trong các phiên bản Android 13, 14 và 15 bằng cách sử dụng một kỹ thuật trước đây được áp dụng bởi các dịch vụ dropper-as-a-service (DaaS) như SecuriDropper và triển khai cấy ghép trojan.
Theo mặc định, các ứng dụng trình tải được tạo thông qua quá trình này có tên gói "com.brkwl.apkstore", mặc dù điều này có thể được người dùng định cấu hình bằng cách cung cấp một tên cụ thể hoặc bật trình tạo tên gói ngẫu nhiên.
Tính khả dụng miễn phí của trình tải có nghĩa là nó có thể được chấp nhận bởi các tác nhân đe dọa khác đang tìm cách vượt qua các biện pháp bảo vệ bảo mật của Android.
"Thứ hai, các dịch vụ 'Dropper-as-a-Service' hiện đang cung cấp khả năng này như một tính năng đặc biệt có thể sẽ đóng cửa dịch vụ của họ hoặc cố gắng tổ chức lại", ThreatFabric nói.