Brokewell malware móvil
Los ciberdelincuentes están aprovechando las actualizaciones fraudulentas del navegador para distribuir un malware para Android recientemente identificado llamado Brokewell. Este malware representa un potente ejemplo de malware bancario contemporáneo, ya que posee funcionalidades diseñadas tanto para el robo de datos como para el control remoto de dispositivos vulnerados. Los investigadores advierten que Brokewell está experimentando un desarrollo activo, con actualizaciones continuas que introducen nuevos comandos que amplían sus capacidades maliciosas, como permitir la captura de eventos táctiles, texto en pantalla y detalles sobre las aplicaciones iniciadas por las víctimas.
Tabla de contenido
El malware móvil Brokewell se hace pasar por aplicaciones legítimas
Brokewell se disfraza de aplicaciones legítimas, como Google Chrome, ID Austria y Klarna, utilizando los siguientes nombres de paquetes:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.upstracking (Klarna)
Al igual que otros programas maliciosos recientes para Android, Brokewell es experto en eludir las restricciones de Google que prohíben que las aplicaciones descargadas soliciten permisos de servicios de accesibilidad.
Tras la instalación y el primer lanzamiento, el troyano bancario solicita a la víctima que otorgue permisos de servicio de accesibilidad. Una vez obtenidos, estos permisos se utilizan para otorgar permisos adicionales y ejecutar diversas actividades maliciosas automáticamente.
Las capacidades de Brokewell incluyen mostrar pantallas superpuestas sobre aplicaciones específicas para recopilar credenciales de usuario. Además, puede extraer cookies iniciando un WebView para cargar sitios web legítimos, interceptando y enviando cookies de sesión a un servidor controlado por actores malintencionados.
El troyano bancario Brokewell puede realizar numerosas acciones dañinas
Las funcionalidades adicionales de Brokewell incluyen grabar audio, capturar capturas de pantalla, acceder a registros de llamadas, recuperar la ubicación del dispositivo, enumerar las aplicaciones instaladas, registrar todos los eventos del dispositivo, enviar mensajes SMS, iniciar llamadas telefónicas, instalar y desinstalar aplicaciones e incluso deshabilitar el servicio de accesibilidad.
Además, los actores de amenazas pueden explotar las capacidades de control remoto del malware para ver el contenido de la pantalla en tiempo real e interactuar con el dispositivo simulando clics, deslizamientos y toques.
Un nuevo actor de amenazas puede ser responsable del malware móvil Brokewell
El individuo que se cree que es el desarrollador de Brokewell se conoce con el alias de Baron Samedit. Los investigadores señalan que el actor de amenazas es conocido desde hace al menos dos años por vender herramientas diseñadas para verificar cuentas robadas. Los expertos también han descubierto otra herramienta atribuida a Samedit llamada 'Brokewell Android Loader', alojada en un servidor de comando y control (C2) utilizado por Brokewell y al que acceden múltiples ciberdelincuentes.
En particular, este cargador es capaz de eludir las restricciones de Google implementadas en Android 13 y versiones posteriores para evitar el uso indebido del Servicio de Accesibilidad por parte de aplicaciones descargadas (APK).
Esta omisión ha sido una preocupación constante desde mediados de 2022 y aumentó significativamente a finales de 2023 con la aparición de operaciones de dropper como servicio (DaaS) que lo ofrecen como parte de su servicio, junto con malware que incorpora estas técnicas en sus cargadores personalizados.
Como lo ejemplificó Brokewell, los cargadores que evaden las restricciones que impiden el acceso al Servicio de Accesibilidad para APK provenientes de canales no confiables ahora se han vuelto prevalentes y ampliamente distribuidos en el panorama de las amenazas cibernéticas.
Los ciberdelincuentes están utilizando herramientas de malware con capacidad de adquisición
Los expertos en seguridad advierten que las funciones de apropiación de dispositivos vistas en el malware bancario Brokewell para Android son muy buscadas por los ciberdelincuentes. Estas capacidades permiten que el fraude se lleve a cabo directamente desde el dispositivo de la víctima, lo que ayuda a los perpetradores a evadir las herramientas de detección y evaluación del fraude.
Se prevé que Brokewell se someterá a un mayor desarrollo y potencialmente se distribuirá a otros ciberdelincuentes a través de foros clandestinos como parte de una oferta de malware como servicio (MaaS).
Para protegerse contra infecciones de malware de Android, absténgase de descargar aplicaciones o actualizaciones de fuentes fuera de Google Play. Asegúrese de que Google Play Protect esté activado en su dispositivo en todo momento para mejorar la seguridad del dispositivo.
