Les chercheurs en sécurité ont découvert un nouveau cheval de Troie bancaire Android qu’ils ont nommé Brokewell qui peut capturer chaque événement sur l’appareil, des touches et des informations affichées à la saisie de texte et aux applications que l’utilisateur lance.

Le logiciel malveillant est livré via une fausse mise à jour de Google Chrome qui s’affiche lors de l’utilisation du navigateur Web. Broke well est en cours de développement actif et propose un mélange de fonctionnalités étendues de prise de contrôle des appareils et de contrôle à distance.

Bien cassé détails
Des chercheurs de la société de gestion des risques de fraude Threat Fabric ont découvert qu’ils s’étaient bien cassés après avoir enquêté sur une fausse page de mise à jour de Chrome qui laissait tomber une charge utile, une méthode courante pour inciter les utilisateurs sans méfiance à installer des logiciels malveillants.

Pages de mise à jour légitimes (à gauche) et fausses (à droite) de Chrome

En examinant les campagnes passées, les chercheurs ont découvert que Brokewell avait déjà été utilisé pour cibler les services financiers « achetez maintenant, payez plus tard » (par exemple Klarna) et se faire passer pour une application d’authentification numérique autrichienne appelée ID Austria.

Les APC utilisés pour la distribution se sont bien cassés

Les principales capacités de Brokewell sont de voler des données et d’offrir un contrôle à distance aux attaquants.

Vol de données:

  • Imite les écrans de connexion des applications ciblées pour voler des informations d’identification (attaques par superposition).
  • Utilise sa propre vue Web pour intercepter et extraire les cookies après qu’un utilisateur se connecte à un site légitime.
  • Capture l’interaction de la victime avec l’appareil, y compris les tapotements, les balayages et les entrées de texte, pour voler des données sensibles affichées ou saisies sur l’appareil.
  • Rassemble les détails matériels et logiciels sur l’appareil.
  • Récupère les journaux d’appels.
  • Détermine l’emplacement physique de l’appareil.
  • Capture l’audio à l’aide du microphone de l’appareil.
Voler les identifiants de la victime

Prise de contrôle de l’appareil:

  • Permet à l’attaquant de voir l’écran de l’appareil en temps réel (diffusion d’écran).
  • Exécute des gestes tactiles et de balayage à distance sur l’appareil infecté.
  • Permet de cliquer à distance sur des éléments ou des coordonnées d’écran spécifiés.
  • Permet le défilement à distance dans les éléments et la saisie de texte dans des champs spécifiés.
  • Simule les pressions physiques sur les boutons comme Retour, Accueil et Récents.
  • Active l’écran de l’appareil à distance pour rendre toutes les informations disponibles pour la capture.
  • Ajuste les paramètres tels que la luminosité et le volume jusqu’à zéro.

Nouvel acteur et chargeur de menaces
Threat Fabric rapporte que le développeur derrière Broke wall est un individu se faisant appeler Baron Samedi, qui depuis au moins deux ans vendait des outils pour vérifier les comptes volés.

Outils vendus sur le site Web de l’auteur de la menace

Les chercheurs ont découvert un autre outil appelé « Brokewell Android Loader », également développé par Samedit. L’outil était hébergé sur l’un des serveurs servant de serveur de commande et de contrôle pour Brokewell et il est utilisé par plusieurs cybercriminels.

Fait intéressant, ce chargeur peut contourner les restrictions introduites par Google dans Android 13 et versions ultérieures pour éviter les abus du service d’accessibilité pour les applications à chargement latéral (APK).

Ce contournement est un problème depuis la mi-2022 et est devenu un problème plus important fin 2023 avec la disponibilité des opérations de compte-gouttes en tant que service (DaaS) l’offrant dans le cadre de leur service, ainsi que des logiciels malveillants incorporant les techniques dans leurs chargeurs personnalisés.

Comme l’a souligné Brokewell, les chargeurs qui contournent les restrictions pour empêcher l’octroi d’un accès au Service d’accessibilité aux fichiers APK téléchargés à partir de sources louches sont maintenant devenus courants et largement déployés dans la nature.

Les chercheurs en sécurité avertissent que les capacités de prise de contrôle des appareils telles que celles disponibles dans Brokewell banker pour Android sont très demandées par les cybercriminels car elles leur permettent d’effectuer la fraude à partir de l’appareil de la victime, évitant ainsi les outils d’évaluation et de détection de la fraude.

Ils s’attendent à ce que Brokewell soit développé et proposé à d’autres cybercriminels sur des forums clandestins dans le cadre d’une opération MAAS (malware-as-a-service).

Pour vous protéger contre les infections de logiciels malveillants Android, évitez de télécharger des applications ou des mises à jour d’applications en dehors de Google Play et assurez-vous que Play Protect est actif sur votre appareil à tout moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *