محققان امنیتی، اخیرا یک تروجان بانکی اندروید جدید به نام Brokewell را کشف کردهاند که میتواند تمامی رویدادهای دستگاه، از جمله کلیدهای فشرده شده صفحه کلید، اطلاعات نمایش داده شده، ورودیهای متنی و برنامههایی را که کاربر اجرا مینماید، ثبت کند.
این بدافزار از طریق یک به روزرسانی جعلی مرورگر گوگل کروم که هنگام استفاده از مرورگر وب نشان داده میشود، ارائه میگردد. Brokewell مانند سایر خانوادههای بدافزار اندرویدی اخیر در نوع خود، میتواند محدودیتهای اعمال شده توسط گوگل را دور بزند. این بدافزار همچنین در حال توسعه فعال است و دارای ترکیبی از قابلیتهای گسترده اخذ دسترسی و کنترل دستگاه از راه دور میباشد.
جزئیات Brokewell
محققان شرکت ThreatFabric، بدافزار Brokewell را پس از بررسی یک صفحه بهروزرسانی جعلی کروم که منجر به تحویل یک پیلود میگردد، کشف کردند. این، یک روش رایج برای فریب دادن کاربران ناآگاه به منظور نصب بدافزار میباشد.
محققان با نگاهی به حملات گذشته، دریافتند که Brokewell قبلاً برای نفوذ به سرویسهای مالی در قالب یک برنامه احراز هویت دیجیتال اتریشی به نام ID Austria استفاده شده است.
قابلیت های اصلی بدافزار Brokewell، سرقت داده و ارائه کنترل از راه دور به مهاجمان میباشد.
قابلیتهای Brokewell در سرقت اطلاعات:
- صفحات لاگینِ اپلیکیشنهای هدف را برای ربودن گواهیهای اعتبار کپی برداری میکند (حملات همپوشانی[1]).
- از WebView خود برای رهگیری و استخراج کوکی ها پس از ورود کاربر به یک سایت قانونی استفاده میکند.
- تعاملات قربانی با دستگاه از جمله کلیدهای فشرده شده صفحه کلید، کشیدن انگشت روی صفحه و الگو، و همچنین متن ورودی را برای سرقت داده های حساس نمایش داده شده یا وارد شده در دستگاه ضبط میکند.
- جزئیات سخت افزاری و نرم افزاری دستگاه را جمع آوری میکند.
- گزارش تماسها را بازیابی میکند.
- مکان فیزیکی دستگاه را تعیین میکند.
- صدا را با استفاده از میکروفون دستگاه ضبط میکند.
قابلیتهای Brokewell در اخذ دسترسی دستگاه:
- به مهاجم اجازه میدهد صفحه نمایش دستگاه را بصورت بلادرنگ مشاهده نماید.
- حرکات لمسی و کشیدن انگشت را از راه دور بر روی دستگاه تحت نفوذ اجرا میکند.
- امکان کلیک از راه دور بر روی عناصر یا مختصات صفحه نمایش را فراهم میآورد.
- پیمایش از راه دور در عناصر مختلف صفحه نمایش و تایپ متن در فیلدهای مشخص شده را فعال میکند.
- فشردن دکمههای فیزیکی مانند Back، Home و Recents را شبیه سازی میکند.
- صفحه نمایش دستگاه را از راه دور فعال مینماید تا هر گونه اطلاعاتی را برای ضبط در دسترس قرار دهد.
- تنظیماتی مانند روشنایی و صدا را تا حد صفر تنظیم میکند.
به گزارش ThreatFabric، توسعه دهنده پشت Brokewell فردی است که خود را Baron Samedit (بارون سامدیت) مینامد و از حداقل دو سال پیش تا کنون، ابزارهایی را به منظور بررسی حسابهای ربوده شده به فروش میرساند.
محققان، ابزار دیگری به نام ” Brokewell Android Loader” را کشف کردند که توسط Samedit ساخته شده است. این ابزار بر روی یکی از سرورهایی که به عنوان سرور فرماندهی و کنترل Brokewell عمل میکند، میزبانی شده است و توسط چندین مجرم سایبری استفاده میشود.
لودر به گونهای طراحی شده است که میتواند محدودیتهایی را که گوگل در اندروید 13 به بعد به منظور جلوگیری از سوء استفاده از سرویس دسترسی برای برنامههای بارگذاری شده جانبی (APK) معرفی کرده است، دور بزند.
قابلیتهای اخذ دسترسی دستگاه مانند آنچه که در Brokewell Banker برای اندروید موجود است، در میان مجرمان سایبری متقاضی فراوانی دارد. از این رو، هکرها انتظار دارند که Brokewell توسعه بیشتری یابد و به عنوان بخشی از عملیات بدافزار به عنوان سرویس (MaaS) به سایر مجرمان سایبری در انجمنهای زیرزمینی ارائه شود.
توصیه میشود برای محافظت از خود در برابر نفوذ بدافزارهای اندرویدی، از دانلود یا بهروزرسانی برنامه، خارج از Google Play خودداری کنید و اطمینان یابید که Play Protect همیشه در دستگاه شما فعال است. گوگل تایید کرده است که Google Play Protect به طور خودکار از کاربران در برابر نسخههای شناخته شده این بدافزار محافظت به عمل میآورد.
[1] overlay attacks