I ricercatori di ThreatFabric hanno scoperto un nuovo trojan bancario per Android. Brokewell include le due funzionalità principali di questo tipo di malware, ovvero il furto di dati e il controllo remoto del dispositivo. Dall’analisi del codice è emerso che un malware simile era stato utilizzato in passato per colpire gli utenti di Klarna, noto servizio “buy now, pay later”
Attenzione agli update di Chrome
La catena di infezione inizia con la visualizzazione di una pagina che invita l’utente ad installare un aggiornamento di Chrome. Si tratta in realtà di pagina fake. Il malware viene scaricato sullo smartphone quando l’utente clicca sul pulsante per il download.
Brokewell sfrutta la nota tecnica “overlay” per mostrare la schermata di login fasulla su quella dell’app bancaria legittima. Le credenziali di accesso finiscono quindi nelle mani dei cybercriminali. Il malware può inoltre rubare i cookie di sessione, catturare tutte le interazioni (tap, swipe, input di testo e altre), raccogliere informazioni hardware e software sul dispositivo, recuperare la cronologia delle chiamate e registrare l’audio tramite microfono. Offre quindi anche funzionalità di spyware.
Dopo aver ottenuto le credenziali bancarie, i cybercriminali possono seguire diversi comandi per il controllo remoto, come quelli per vedere lo schermo in tempo reale, eseguire gesture, cliccare specifici elementi, digitare testo, simulare pulsanti fisici e cambiare le impostazioni (ad esempio livello di luminosità e volume).
Su uno dei server C2 (command and control) è stato trovato un altro malware dello stesso autore, denominato Brokewell Android Loader, che consente di aggirare le restrizioni introdotte con Android 13 per i servizi di accessibilità. Gli utenti devono fare attenzione alle schermate fasulle e aggiornare le app solo tramite Play Store. Google ha comunicato che Play Protect rileva Brokewell.