خانه » انتشار بدافزار اندرویدی Brokewell از طریق به‌ روزرسانی جعلی مرورگر گوگل کروم

انتشار بدافزار اندرویدی Brokewell از طریق به‌ روزرسانی جعلی مرورگر گوگل کروم

توسط Vulnerbyt_News
بدافزار Brokewell

محققان امنیتی، اخیرا یک تروجان بانکی اندروید جدید به نام Brokewell را کشف کرده‌اند که می‌تواند تمامی رویدادهای دستگاه، از جمله کلیدهای فشرده شده صفحه کلید، اطلاعات نمایش داده ‌شده، ورودی‌های متنی و برنامه‌هایی را که کاربر اجرا می‌نماید، ثبت کند.

این بدافزار از طریق یک به‌ روزرسانی جعلی مرورگر گوگل کروم که هنگام استفاده از مرورگر وب نشان داده می‌شود، ارائه می‌گردد. Brokewell مانند سایر خانواده‌های بدافزار اندرویدی اخیر در نوع خود، می‌تواند محدودیت‌های اعمال ‌شده توسط گوگل را دور بزند. این بدافزار همچنین در حال توسعه فعال است و دارای ترکیبی از قابلیت‌های گسترده اخذ دسترسی و کنترل دستگاه از راه دور می‌باشد.

 

جزئیات Brokewell

محققان شرکت ThreatFabric، بدافزار Brokewell را پس از بررسی یک صفحه به‌روزرسانی جعلی کروم که منجر به تحویل یک پیلود می‌گردد، کشف کردند. این، یک روش رایج برای فریب دادن کاربران ناآگاه به منظور نصب بدافزار می‌باشد.

بدافزار اندرویدی Brokewell
شکل ۱- صفحات به‌روزرسانی اصلی (چپ) و جعلی (راست) گوگل کروم

محققان با نگاهی به حملات گذشته، دریافتند که Brokewell قبلاً برای نفوذ به سرویس‌های مالی در قالب یک برنامه احراز هویت دیجیتال اتریشی به نام ID Austria استفاده شده است.

APKهای مورد استفاده برای توزیع Brokewell
شکل ۲- APKهای مورد استفاده برای توزیع Brokewell

قابلیت های اصلی بدافزار Brokewell، سرقت داده و ارائه کنترل از راه دور به مهاجمان می‌باشد.

قابلیت‌های Brokewell در سرقت اطلاعات: 

  • صفحات لاگینِ اپلیکیشن‌های هدف را برای ربودن گواهی‌های اعتبار کپی برداری می‌کند (حملات همپوشانی[1]).
  • از WebView خود برای رهگیری و استخراج کوکی ها پس از ورود کاربر به یک سایت قانونی استفاده می‌کند.
  • تعاملات قربانی با دستگاه از جمله کلیدهای فشرده شده صفحه کلید، کشیدن انگشت روی صفحه و الگو، و همچنین متن ورودی را برای سرقت داده های حساس نمایش داده شده یا وارد شده در دستگاه ضبط می‌کند.
  • جزئیات سخت افزاری و نرم افزاری دستگاه را جمع آوری می‌کند.
  • گزارش تماس‌ها را بازیابی می‌کند.
  • مکان فیزیکی دستگاه را تعیین می‌کند.
  • صدا را با استفاده از میکروفون دستگاه ضبط می‌کند.
بدافزار اندرویدی Brokewell
شکل ۳- سرقت گواهی اعتبار قربانی

قابلیت‌های Brokewell در اخذ دسترسی دستگاه:

  • به مهاجم اجازه می‌دهد صفحه نمایش دستگاه را بصورت بلادرنگ مشاهده نماید.
  • حرکات لمسی و کشیدن انگشت را از راه دور بر روی دستگاه تحت نفوذ اجرا می‌کند.
  • امکان کلیک از راه دور بر روی عناصر یا مختصات صفحه نمایش را فراهم می‌آورد.
  • پیمایش از راه دور در عناصر مختلف صفحه نمایش و تایپ متن در فیلدهای مشخص شده را فعال می‌کند.
  • فشردن دکمه‌های فیزیکی مانند Back، Home و Recents را شبیه سازی می‌کند.
  • صفحه ‌نمایش دستگاه را از راه دور فعال می‌نماید تا هر گونه اطلاعاتی را برای ضبط در دسترس قرار دهد.
  • تنظیماتی مانند روشنایی و صدا را تا حد صفر تنظیم می‌کند.

به گزارش ThreatFabric، توسعه دهنده پشت Brokewell فردی است که خود را Baron Samedit  (بارون سامدیت) می‌نامد و از حداقل دو سال پیش تا کنون، ابزارهایی را به منظور بررسی حساب‌های ربوده شده به فروش می‌رساند.

Baron Samedit
شکل ۴- ابزارهای فروخته شده در وب سایت مهاجم

محققان، ابزار دیگری به نام ” Brokewell Android Loader” را کشف کردند که توسط Samedit ساخته شده است. این ابزار بر روی یکی از سرورهایی که به عنوان سرور فرماندهی و کنترل Brokewell عمل می‌کند، میزبانی شده است و توسط چندین مجرم سایبری استفاده می‌شود.

لودر به گونه‌ای طراحی شده است که می‌تواند محدودیت‌هایی را که گوگل در اندروید 13 به بعد به منظور جلوگیری از سوء استفاده از سرویس دسترسی برای برنامه‌های بارگذاری شده جانبی (APK) معرفی کرده است، دور بزند.

قابلیت‌های اخذ دسترسی دستگاه مانند آنچه که در Brokewell Banker برای اندروید موجود است، در میان مجرمان سایبری متقاضی فراوانی دارد. از این رو، هکرها انتظار دارند که Brokewell توسعه بیشتری یابد و به عنوان بخشی از عملیات بدافزار به عنوان سرویس (MaaS) به سایر مجرمان سایبری در انجمن‌های زیرزمینی ارائه شود.

توصیه می‌شود برای محافظت از خود در برابر نفوذ‌ بدافزارهای اندرویدی، از دانلود یا به‌روزرسانی برنامه، خارج از Google Play خودداری کنید و اطمینان یابید که Play Protect همیشه در دستگاه شما فعال است. گوگل تایید کرده است که Google Play Protect به طور خودکار از کاربران در برابر نسخه‌های شناخته شده این بدافزار محافظت به عمل می‌آورد.

 

[1] overlay attacks

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید