新的“Brokewell”Android 恶意软件通过虚假浏览器更新传播

虚假浏览器更新被用来推送一种名为Brokewell的先前未记录的 Android 恶意软件。

荷兰安全公司 ThreatFabric在周四发布的一份分析报告中表示： “Brokewell 是一种典型的现代银行恶意软件，恶意软件内置了数据窃取和远程控制功能。”

据说该恶意软件正在积极开发中，添加新命令来捕获触摸事件、屏幕上显示的文本信息以及受害者启动的应用程序。

伪装成 Google Chrome、ID Austria 和 Klarna 的 Brokewell 应用程序列表如下：

jcwAz.EpLIq.vcAZiUGZpK（谷歌浏览器）
zRFxj.ieubP.lWZzwlluca（ID 奥地利）
com.brkwl.upstracking（克拉纳）
与最近的其他同类 Android 恶意软件家族一样，Brokewell 能够绕过 Google 施加的限制，这些限制阻止侧载应用程序请求辅助服务权限。

该银行木马一旦首次安装并启动，就会提示受害者向无障碍服务授予权限，随后利用该服务自动授予其他权限并执行各种恶意活动。

这包括在目标应用程序顶部显示覆盖屏幕以窃取用户凭据。它还可以通过启动WebView并加载合法网站来窃取 cookie，然后拦截会话 cookie 并将其传输到攻击者控制的服务器。

Brokewell 的其他一些功能包括录制音频、截屏、检索通话记录、访问设备位置、列出已安装的应用程序、记录设备上发生的每个事件、发送短信、拨打电话、安装和卸载应用程序的能力，甚至禁用辅助服务。

威胁行为者还可以利用恶意软件的远程控制功能来实时查看屏幕上显示的内容，并通过点击、滑动和触摸与设备进行交互。

据说 Brokewell 是一位名为“Baron Samedit Marais”的开发人员的作品，负责管理“Brokewell Cyber​​ Labs”项目，该项目还包括在 Gitea 上公开托管的 Android Loader。

该加载程序被设计为充当释放器，使用之前由释放器即服务 (DaaS) 产品（如SecuriDropper ）采用的技术来绕过 Android 版本 13、14 和 15 中的可访问权限限制，并部署木马植入程序。

默认情况下，通过此过程生成的加载程序应用程序的包名称为“com.brkwl.apkstore”，尽管用户可以通过提供特定名称或启用随机包名称生成器来配置此名称。

该加载程序的免费可用性意味着它可能会受到其他想要绕过 Android 安全保护的威胁行为者的欢迎。

ThreatFabric 表示：“其次，目前提供此功能作为独特功能的现有‘Dropper-as-a-Service’产品可能​​会关闭其服务或尝试重组。”

“这进一步降低了希望在现代设备上分发移动恶意软件的网络犯罪分子的进入门槛，使更多的参与者更容易进入该领域。”