关于“新的Brokewell恶意软件接管Android设备，窃取数据”事件的研判分析

一、概述

　　安全研究人员发现了一种名为Brokewell的新安卓银行木马，它可以捕捉设备上的每一个事件，从触摸和显示的信息到文本输入和用户启动的应用程序。

　　该恶意软件是通过使用网络浏览器时显示的虚假谷歌Chrome更新来传递的。Brokewell正在积极开发中，具有广泛的设备接管和远程控制功能。

二、Brokewell详细信息

　　被欺诈风险公司ThreatFabric的研究人员在调查了一个丢失有效负载的假Chrome更新页面后发现了Brokewell，这是一种诱骗毫无戒心的用户安装恶意软件的常见方法。

　　通过查看过去的活动，研究人员发现，Brokewell以前曾被用于针对“现在购买，以后付款”的金融服务(如Klarna)和作为奥地利数字身份验证应用程序ID Austria的口罩认证。

　　Brokewell的主要功能是窃取数据并为攻击者提供远程控制。

　　数据窃取：

　　·模拟目标应用程序的登录屏幕以窃取凭据(覆盖攻击)。

　　·在用户登录到合法网站后，使用自己的WebView拦截和提取cookie。

　　·捕捉受害者与设备的互动，包括敲击、滑动和文本输入，以窃取设备上显示或输入的敏感数据。

　　·收集有关设备的硬件和软件详细信息。

　　·检索调用日志。

　　·确定设备的物理位置。

　　·使用设备的麦克风捕获音频。

　　设备接管：

　　·允许攻击者实时查看设备的屏幕(屏幕流)。

　　·在受感染的设备上远程执行触摸和滑动手势。

　　·允许远程单击指定的屏幕元素或坐标。

　　·启用元素内的远程滚动和在指定字段中键入文本。

　　·模拟物理按钮按下，如后退、主页和最近。

　　·远程激活设备的屏幕，使任何信息都可用于捕获。

　　·将亮度和音量等设置一直调整到零。

三、新的威胁参与者和加载器

　　ThreatFabric报道称，Brokewell背后的开发者是一个自称Baron Samedit的人，他至少两年来一直在销售检查被盗账户的工具。

　　研究人员发现了另一个名为“Brokewell Android Loader”的工具，也是由Samedit开发的。该工具托管在其中一台服务器上，该服务器充当Brokewell的指挥和控制服务器，被多名网络犯罪分子使用。

　　这个加载程序可以绕过谷歌在Android 13及更高版本中引入的限制，以防止侧载应用程序(APK)滥用辅助功能服务。

　　这种绕过自2022年年中以来一直是一个问题，并在2023年末成为一个更大的问题，因为作为其服务的一部分提供滴管即服务(DaaS)操作的可用性，以及将这些技术纳入其自定义加载程序的恶意软件。

　　绕过限制以阻止向从不正当来源下载的APK授予可访问性服务访问权限的加载程序现在已经变得很常见，并在野外广泛部署。

　　安全研究人员警告说，网络犯罪分子对设备接管功能的需求很高，比如Brokewell banker for Android中提供的设备接管功能，因为它可以让他们从受害者的设备上进行欺诈，从而逃避欺诈评估和检测工具。

　　他们预计，作为恶意软件即服务(MaaS)行动的一部分，Brokewell将得到进一步开发，并在地下论坛上提供给其他网络罪犯。

　　为了保护自己免受Android恶意软件感染，请避免从Google Play外部下载应用程序或应用程序更新，并确保Play protect始终在您的设备上处于活动状态。