Di Matthew Phelan Reporter scientifico senior per Dailymail.Com
19:22 del 1 maggio 2024, aggiornato alle 19:26 del 1 maggio 2024
- I ricercatori di sicurezza hanno scoperto un nuovo malware bancario chiamato “Brokewell”
- Il virus ruba denaro si è presentato come Google Chrome, Klarna e ID Austria
- LEGGI DI PIÙ: Un malware “invisibile” sta infettando gli sportelli bancomat delle banche di tutto il mondo
Gli hacker hanno lanciato un nuovo malware che prosciuga conti bancari, opportunamente chiamato “Brokewell”, e i ricercatori di sicurezza avvertono che sta prendendo di mira gli utenti Android.
Il trojan Brokewell attualmente si presenta come un aggiornamento di Google Chrome per Android, a volte addirittura imitando gli annunci di Google per gli aggiornamenti.
Quel che è peggio, secondo il rapporto sulla sicurezza del team, Brokewell “sembra essere in fase di sviluppo attivo, con nuovi comandi aggiunti quasi ogni giorno”.
Il kit malware include anche una suite di strumenti ‘spyware’ in grado di sorvegliare segretamente e controllare a distanza il dispositivo mobile di un utente Android.
“Può raccogliere informazioni sul dispositivo, cronologia delle chiamate, geolocalizzazione e registrare audio”, hanno avvertito i ricercatori della sicurezza.
I ricercatori di sicurezza informatica dell’azienda ThreatFabric hanno identificato per la prima volta Brokewell tramite i falsi annunci di aggiornamento di Google Chrome degli hacker, ma la loro “analisi retrospettiva” ha scoperto precedenti campagne di hacking che utilizzavano il malware.
Questa “famiglia di malware mai vista prima con un’ampia gamma di funzionalità”, hanno scritto, aveva preso di mira anche Klarna, una popolare app finanziaria “compra ora, paga dopo”, e ID Austria, la servizio ufficiale di autenticazione digitale creato dal governo nazionale austriaco.
Brokewell, secondo ThreatFabric, impiega due tattiche sempre più comuni apprezzate da malware simili per il mobile banking con scasso informatico.
Innanzitutto utilizza “attacchi overlay”, che creano una falsa schermata sull’app bancaria presa di mira, per rubare le credenziali di accesso dell’utente mentre l’utente reale le digita da solo.
Successivamente, Brokewell ruba effettivamente i “cookie di sessione” utilizzati dall’app bancaria, in modo che l’hacker possa successivamente aggirare le misure di sicurezza come l’autenticazione a due fattori.
I cookie di sessione sono cookie temporanei che vengono cancellati dal dispositivo una volta che l’utente chiude il browser.
Rubandoli, gli hacker possono inserirli in nuove sessioni web e sostanzialmente impersonare gli utenti originali senza dover dimostrare la propria identità.
“Dopo aver rubato le credenziali, gli autori possono avviare un attacco Device Takeover utilizzando funzionalità di controllo remoto”, ha avvertito ThreatFabric nel suo rapporto.
‘Il malware esegue lo streaming dello schermo e fornisce l’attore [i.e. the hacker] con una serie di azioni che possono essere eseguite sul dispositivo controllato, come tocchi, sfioramenti e clic su elementi specifici,’ hanno scoperto.
Tutti i nuovi e sofisticati strumenti di hacking di Brokewell, secondo i ricercatori, aumenteranno la probabilità che altri hacker incorporino la loro capacità di aggirare le misure di sicurezza attualmente sui dispositivi Android con Android 13 o versioni successive.
‘Durante la nostra indagine, abbiamo scoperto un altro contagocce [malware that opens the gates for future malware payloads] che aggira le restrizioni di Android 13+”, hanno affermato i ricercatori.
“Questo contagocce è stato sviluppato dagli stessi attori ed è stato reso disponibile al pubblico”, hanno osservato.
ThreatFabric ha affermato di essere riuscito a rintracciare alcuni dei server utilizzati dall’ibrido malware/spyware: un punto di comando e controllo (C2) per la gestione dei dispositivi infetti delle vittime.
Gli hacker ospitano anche sfacciatamente un repository per il suo codice, completo di “leggimi”, sotto il nome di “Brokewell Cyber Labs” e il nome dell’autore “Baron Samedit”.
Il nome è un gioco di parole su Baron Samedi, una figura della cultura voodoo haitiana resa famosa dall’omonimo cattivo di James Bond nel film del 1973 Vivi e lascia morire.
