Brokewell: Novi Android bankarski trojanac i njegove mogućnosti
Brokewell je novi bankarski trojanac za Android koji se nedavno pojavio, opremljen je naprednim funkcijama kao što su snimanje ekrana, napadi preklapanja, praćenje unosa i još mnogo toga. Ovaj zlonamjerni softver zaobilazi dozvole pristupačnosti na Android verzijama 13, 14 i 15 koristeći prilagođeni učitavač.
BROKEWELL
Brokewell je novootkriveni Android bankarski trojanac koji je privukao značajnu pažnju sigurnosnih istraživača zbog svojih naprednih funkcija i potencijalnog uticaja na korisnike. Ovaj zlonamjerni softver, koji je još uvijek u početnim fazama razvoja, može da zaobiđe ograničenja dozvola pristupačnosti na određenim verzijama Android operativnog sistema (verzije 13, 14 i 15) koristeći prilagođeni učitavač.
“Brokewell je tipičan moderni bankarski zlonamjerni softver opremljen sa mogućnostima krađe podataka i daljinske kontrole ugrađenim u zlonamjerni softver.”
– ThreatFabric –
Vjeruje se da je Brokewell djelo programera po imenu Baron Samedit Marais, koji upravlja projektom Brokewell Cyber Labs na Gitea, platformi za hostovanje softvera otvorenog kôda. Učitavač koji koristi Brokewell je javno dijeljen na ovoj platformi i može se konfigurisati sa prilagođenim imenom paketa ili nasumičnim imenom. Ova besplatna dostupnost učitavača čini ga privlačnim za druge zlonamjerne aktere koji traže načine da zaobiđu Android bezbjednosnu zaštitu.
Prilagođeni učitavač
Učitavač generisan kroz ovaj proces ima podrazumijevano ime paketa com.brkwl.apkstore, ali ga korisnik može konfigurisati da ima određeno ime ili da koristi nasumično. Učitavač je sposoban da zaobiđe ograničenja dozvola na Android verzijama 13, 14 i 15. Na ovaj način on omogućava instaliranje zlonamjernih APK datoteka koji mogu da preuzmu kontrolu nad zaraženim uređajem, omogućavajući daljinski pristup napadačima. Jednom instaliran, on postavlja trojanski implant, koji komunicira sa komandnim i kontrolnim (C&C) serverom koji se nalazi na mi6[.]operationanonrecoil[. ]ru na IP adresi 91.92.247[.]182.
Učitavač je ključni dio Brokewell prijetnje, jer omogućava zlonamjernim akterima da zaobiđu Google bezbjednosne mjere, što im olakšava distribuciju i instaliranje sopstvenog zlonamjernog softvera na ciljane uređaje. Ovo povećava rizik od finansijske prevare, krađe identiteta i drugih oblika sajber kriminala koji ciljaju korisnike Android uređaja.
Lažno Chrome ažuriranje
Android bankarski trojanac pod nazivom Brokewell, koji se distribuira preko lažne Chrome Update internet phishing stranice. Primarni metod napada za Brokewell zlonamjerni softver uključuje napade sa preklapanjem. U ovom slučaju, žrtva je prevarena da povjeruje da ažurira svoj Chrome internet pregledač, ali umjesto toga preuzima i instalira zlonamjerni softver. Jednom instaliran, Brokewell bilježi sve interakcije korisnika, uključujući dodire, prelaske, prikaze informacija, unos teksta i programe otvorene na zaraženom uređaju. Ovi podaci se zatim prenose na server za komandu i kontrolu radi dalje eksploatacije.
Lažni napad ažuriranja internet pregledača je uobičajena taktika koju koriste zlonamjerni akteri za distribuciju zlonamjernog softvera pod maskom legitimnog softvera ili ažuriranja. U ovom slučaju, korisnici se upućuju na internet stranicu za “pecanje” koji imitira izgled i funkcionalnost originalne stranice za Chrome ažuriranje. Korisnik bez sumnje preuzima i instalira zlonamjernu aplikaciju, dajući joj pristup svom uređaju i potencijalno kompromitujući osjetljive informacije kao što su akreditivi za prijavu i kolačići.
BROKEWELL MOGUĆNOSTI
Bankarski trojanac Brokewell je dizajniran da ukrade korisničke akreditive iz različitih aplikacija, uključujući one koje se koriste za mobilno bankarstvo i finansijske transakcije. To postiže kombinacijom napada preklapanja (eng. overlay attacks) i tehnike praćenja korisničkog unosa (eng. keylogging). Pored toga, zlonamjerni softver može da snima ekrane, da pravi fotografije ekrana, da preuzme evidenciju poziva, da pristupi podacima o lokaciji uređaja, da lista instalirane aplikacije, pa čak i da onemogući uslugu pristupačnosti na zaraženim uređajima.
Napad preklapanja
Napad sa preklapanjem je vrsta phishing tehnike gdje napadač kreira lažni interfejs koji prekriva legitimne aplikacije ili internet stranice kako bi prevario korisnike da unesu svoje akreditive za prijavu. Brokewell koristi ovaj metod tako što kreira lažni ekran za prijavu, koji se pojavljuje kada korisnik pokuša da pristupi ciljanoj aplikaciji ili internet lokaciji. Zlonamjerni softver zatim snima i šalje ove ukradene akreditive nazad na svoj server za komandu i kontrolu (C&C) radi dalje eksploatacije.
Brokewell upotreba preklapajućih napada nije neuobičajena tehnika u zlonamjernom softveru za mobilno bankarstvo. Presretanjem interakcija između korisnika i ciljanih aplikacija, zlonamjerni akteri mogu ukrasti vrijedne podatke koji se mogu koristiti za finansijsku dobit ili druge zlonamjerne svrhe. Snimanje svih interakcija korisnika putem evidencija pristupačnosti (eng. accessibility logging) omogućava Brokewell zlonamjernom softveru da uhvati sveobuhvatan skup podataka sa zaraženog uređaja, što ga čini značajnom prijetnjom za korisnike.
Praćenja korisničkog unosa
Još jedan metod koji Brokewell koristi da ukrade korisničke akreditive je praćenje korisničkog unosa, što uključuje snimanje svakog pritiska na taster na zaraženom uređaju. Ovi podaci se zatim mogu poslati nazad na C&C server napadača radi analize i upotrebe u raznim zlonamjernim aktivnostima. Praćenje korisničkog unosa je posebno opasno, jer može da uhvati osjetljive informacije poput lozinki, brojeva kreditnih kartica i drugih ličnih podataka koje korisnici mogu da unose u svoje uređaje tokom dana.
C&C komunikacija
Brokewell komunicira sa svojim serverom za komandu i kontrolu (C&C) koristeći prilagođeni protokol preko HTTPS protokola kako bi osigurao bezbjednu komunikaciju između zlonamjernog softvera i infrastrukture napadača. Zlonamjerni softver može da prima komande od C&C servera, koje uključuju preuzimanje dodatnih modula ili obavljanje određenih radnji na zaraženom uređaju. Ovaj nivo kontrole omogućava zlonamjernim akterima da po potrebi prošire Brokewell funkcionalnost.
“Ove mogućnosti bi mogle biti dodatno proširene u budućnosti automatizacijom specifičnih radnji za pojednostavljenje napada preuzimanja uređaja za aktere i potencijalno stvaranje funkcionalnog automatizovanog sistema prenosa (ATS).”
– ThreatFabric –
ZAKLJUČAK
Brokewell Android trojanac je novoidentifikovani zlonamjerni softver koji predstavlja značajnu prijetnju za Android korisnike. Ovaj trojanac može da ukrade korisničke podatke i da napadačima omogući daljinski pristup zaraženim uređajima, što ga čini opasnijim od tipičnog zlonamjernog softvera za mobilno bankarstvo.
Bezbjednosne implikacije Brokewell zlonamjernog softvera su ozbiljne, jer omogućava napadačima da izvrše prevaru sa uređaja žrtve, izbjegavajući alate za otkrivanje. Sigurnosni istraživači predviđaju da će se ovaj trojanac dalje razvijati i nuditi na podzemnim forumima kao dio operacije zlonamjerni softver kao usluga (eng. malver-as-a-service – MaaS).
ZAŠTITA
Kako bi se zaštitili od Brokewell Android zlonamjernog softvera, korisnici mogu slijediti ove korake:
- Preuzimati aplikacije samo iz zvaničnih izvora, jer je primarni način na koji se Brokewell širi putem lažnih ažuriranja aplikacija. Zbog toga je od suštinskog značaja da se aplikacije i ažuriranja preuzimaju isključivo iz pouzdanih izvora kao što je Google Play prodavnica,
- Omogućiti Google Play zaštitu, jer ona automatski skenira uređaj u potrazi za zlonamjernim softverom i održava ga ažuriranim najnovijim bezbjednosnim definicijama. Uvjeriti se da je Google Play zaštita omogućena na Android uređaju odlaskom na Podešavanja > Bezbednost i privatnost > Google Play zaštita > Uključiti „Skeniraj aplikacije pomoću Play Protect“ (eng. Settings > Safety & privacy > Google Play protect > Turn on “Scan apps with Play Protect),
- Biti oprezan sa lažnim ažuriranjima aplikacija, jer zlonamjerni akteri često prikrivaju zlonamjerni softver kao legitimna ažuriranja aplikacija, posebno za popularne aplikacije kao što su internet pregledači ili alati za autentifikaciju. Uvijek dvaput provjeriti izvor i autentičnost pre instaliranja ažuriranja za aplikacije,
- Redovno ažuriranje operativnog sistema je ključno kako bi se osiguralo da su instalirane najnovije bezbjednosne ispravke protiv poznatih ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je Brokewell,
- Koristiti pouzdano rješenje za bezbjednost mobilnih uređaja i pored Google Play zaštite. Jednostavno razmisliti o korištenju dodatnog paketa bezbednosti za mobilne uređaje sa funkcijama za otkrivanje prijetnji u realnom vremenu i internet zaštitu. Ovo može pomoći da se zaštiti uređaj od različitih vrsta prijetnji, uključujući one koje se šire putem lažnih ažuriranja aplikacija ili phishing napada,
- Izbjegavati klikove na sumnjive veze, jer zlonamjerni akteri koriste elektronske poruke za “pecanje”, a zlonamjerne internet lokacije su uobičajena mjesta infekcije Android zlonamjernim softverom. Biti oprezan kada se otvaraju prilozi elektronske pošte ili prilikom klikova na veze, posebno ako potiču iz nepoznatih izvora ili izgledaju kao da su previše dobre da bi bile istinite,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) gdje je to moguće, jer autentifikacija u dva koraka dodaje dodatni nivo bezbednosti tako što zahteva verifikacioni kôd koji se šalje putem SMS poruke ili generiše preko aplikacije za autentifikaciju prilikom prijave na osjetljive naloge. Ovo može pomoći u sprečavanju neovlaštenog pristupa, čak i ako je uređaj kompromitovan Brokewell ili sličnim zlonamjernim softverom,
- Redovno praviti rezervne kopije podataka, jer u slučaju da se Android uređaj zarazi, skorašnja rezervna kopija važnih datoteka i informacija će olakšati oporavak od napada. Koristiti usluge skladištenja u oblaku kao što su Google Drive ili OneDrive za automatske rezervne kopije ili redovno ručno sinhronizovati podatke.