MADRID, 30 aprile (Portaltico/EP) –
I ricercatori di sicurezza informatica hanno scoperto un trojan, noto come Brokewell, che si presenta come un aggiornamento di Chrome su Android e fornisce ai criminali informatici l’accesso remoto a tutte le risorse disponibili tramite il mobile banking.
Un Trojan è un tipo di “malware” incorporato in un file eseguibile apparentemente legittimo. Ciò significa che, una volta scaricato, il file accede al dispositivo con l’intenzione di eseguire azioni dannose, come rubare informazioni.
Gli analisti della società di sicurezza ThreatFabric hanno scoperto una nuova famiglia di “malware” mobile, chiamata Brokewell e che “rappresenta una grave minaccia per il settore bancario”, come hanno indicato in un comunicato.
Il trojan Brokewell, che sembra essere in fase di sviluppo attivo e aggiunge nuovi comandi “quasi ogni giorno”, è in grado di aggirare le restrizioni di Android 13+ e viene fornito come aggiornamento di Google Chrome.
Nello specifico, i criminali informatici introducono un’interfaccia molto simile alla pagina di download del browser legittimo, mascherando così il “malware” bancario e utilizzando attacchi di sovrapposizione.
Si tratta di una tecnica comune per questo tipo di software dannoso, in cui si sovrappone una schermata falsa a un’applicazione specifica per acquisire le credenziali dell’utente. Allo stesso modo, ha la capacità di rubare cookie di sessione e inviarli a server di comando e controllo (C2).
In questo modo, una volta ottenute le credenziali di accesso, i criminali informatici possono sferrare un attacco per impossessarsi dei dispositivi. Per raggiungere questo obiettivo, il “malware” trasmette lo schermo al server, dal quale gli agenti dannosi possono eseguire determinati comandi.
I responsabili delle indagini hanno inoltre sottolineato che Brokewell è dotato di un registro di accessibilità, che cattura ogni evento che accade sul dispositivo, cioè la pressione dei tasti sullo schermo o le informazioni visualizzate dalle applicazioni aperte.
Oltre a monitorare l’attività delle vittime, il trojan supporta anche diverse funzionalità ‘spyware’, ovvero può raccogliere informazioni sul dispositivo, Cronologia chiamate, geolocalizzazione e registrazione audio.
ATTIVO DA DUE ANNI
ThreatFabric ha indicato che è possibile che il trojan, i cui sviluppatori non nascondono la propria identità – poiché il suo repository, Brokewell Cyber Labs, arriva con la firma ‘Baron Samedit’ – viene promosso attraverso canali clandestini, che potrebbero attirare l’interesse di altri criminali informatici.
Questo file di archivio contiene anche il codice sorgente di Brokewell Android Loader – per telefoni cellulari con questo sistema operativo -, un altro strumento dello stesso sviluppatore progettato per evitare le restrizioni di Android 13+ nel servizio di accessibilità per le applicazioni a caricamento laterale.
Secondo lo studio questo”avrà un impatto significativo sul panorama delle minacce”, Poiché sempre più attori riusciranno ad aggirare le restrizioni di questo sistema operativo, questa potrebbe diventare una caratteristica comune per la maggior parte delle famiglie di malware mobile.
D’altro canto, gli esperti ritengono che “Baron Samedit” sarebbe attivo da almeno due anni e che in precedenza avrebbe fornito strumenti ad altri criminali informatici per controllare account rubati da più servizi.
I ricercatori hanno infine sottolineato che queste famiglie di “malware” “rappresentano un rischio significativo per i clienti degli istituti finanziari”, dando luogo a casi di frode “riusciti” e “difficile da individuare senza misure adeguate.”
