محققان امنیتی یک تروجان بانکی اندروید جدید به نام Brokewell کشف کرده‌اند که می‌تواند همه رویدادهای دستگاه، از لمس و اطلاعات نمایش داده‌شده تا ورودی متن و برنامه‌هایی را که کاربر راه‌اندازی می‌کند، ثبت کند.

به گزارش پایگاخه اطلاع‌رسانی پلیس فتا، این بدافزار از طریق یک به‌روزرسانی جعلی Google Chrome ارائه می‌شود. Brokewell در حال توسعه بوده و دارای ترکیبی از قابلیت‌های گسترده تصاحب دستگاه و کنترل از راه دور است.

جزئیات بروکول
محققان در شرکت ThreatFabric پس از بررسی یک صفحه به‌روزرسانی جعلی کروم که یک بار بارگذاری شده بود، بروکول را پیدا کردند، یک روشی رایج برای فریب دادن کاربران ناآگاه به نصب بدافزار است.

با نگاهی به کمپین‌های گذشته، محققان دریافتند که Brokewell قبلاً برای هدف قرار دادن خدمات مالی «اکنون بخرید، بعداً بپردازید» و به ‌عنوان یک برنامه احراز هویت دیجیتال اتریشی به نام ID Austria استفاده می‌شد.

قابلیت‌های اصلی Brokewell سرقت داده‌ها و ارائه کنترل از راه دور به مهاجمان است.

سرقت اطلاعات:
صفحات ورود به سیستم برنامه‌های هدف را برای سرقت اعتبارنامه ها تقلید می‌کند (حملات همپوشانی).
تعامل قربانی با دستگاه، از جمله ضربه زدن، کشیدن انگشت، و ورودی متن را برای سرقت داده‌های حساس نمایش داده شده یا وارد شده در دستگاه ضبط می‌کند.
جزئیات سخت‌افزاری و نرم‌افزاری دستگاه را جمع آوری می‌کند.
گزارش تماس‌ها را بازیابی می‌کند.
صدا را با استفاده از میکروفون دستگاه ضبط می‌کند.

تصاحب دستگاه:
به مهاجم اجازه می‌دهد صفحه دستگاه را در زمان واقعی ببیند (جریان‌های صفحه).
حرکات لمسی و کشیدن انگشت را از راه دور روی دستگاه آلوده اجرا می‌کند.
به کلیک از راه دور روی عناصر یا مختصات صفحه مشخص شده اجازه می‌دهد.
صفحه‌نمایش دستگاه را از راه دور فعال می‌کند تا هر گونه اطلاعاتی را برای ضبط در دسترس قرار دهد.
تنظیماتی مانند روشنایی و صدا را تا حد صفر تنظیم می‌کند.

محققان ابزار دیگری به نام «Brokewell Android Loader» را کشف کردند که توسط Samedit نیز ساخته شده است. این ابزار بر روی یکی از سرورهایی که به عنوان سرور فرمان و کنترل Brokewell عمل می‌کند میزبانی شده است و توسط چندین مجرم سایبری استفاده می‌شود.

جالب اینجاست که می‌تواند محدودیت‌هایی را که گوگل در اندروید 13 به بعد برای جلوگیری از سوء استفاده از سرویس دسترسی برای برنامه‌های بارگذاری شده جانبی (APK) معرفی کرده است، دور بزند.

همانطور که در Brokewell مشخص شد، بارگیری‌هایی که محدودیت‌ها را دور می‌زنند تا از اعطای دسترسی سرویس دسترس‌پذیری به فایل‌های APK دانلود شده از منابع سایه‌دار جلوگیری کنند، اکنون رایج شده‌اند و به طور گسترده مستقر شده‌اند.

محققان امنیتی هشدار می‌دهند که قابلیت‌های تصاحب دستگاه مانند آن‌هایی که در Brokewell Banker برای اندروید موجود است، در بین مجرمان سایبری بسیار مورد تقاضا است، زیرا به آنها اجازه می‌دهد کلاهبرداری را از دستگاه قربانی انجام دهند.

آنها انتظار دارند که Brokewell بیشتر توسعه یابد و به عنوان بخشی از عملیات بدافزار به عنوان سرویس به سایر مجرمان سایبری در انجمن‌های زیرزمینی ارائه شود.

برای محافظت از خود در برابر بدافزار Android، از دانلود برنامه‌ها یا به‌روزرسانی‌های برنامه از خارج از Google Play خودداری کنید و مطمئن شوید که Play Protect همیشه در دستگاه شما فعال است.