セキュリティ研究者は、ユーザーの機密情報を盗み、攻撃者が感染したデバイスをリモートで制御できるようにする新しい Android バンキング トロイの木馬を発見しました。
「Brokewell は、データ窃盗機能とリモート制御機能の両方がマルウェアに組み込まれた、典型的な現代のバンキング マルウェアです」とオランダのセキュリティ会社 ThreatFabric は述べています。言った木曜日に発表された分析で。
ThreatFabric によると、Brokewell は銀行業界に重大な脅威をもたらし、攻撃者にモバイル バンキングを通じて利用可能なすべての資産へのリモート アクセスを提供します。このマルウェアは、被害者をマルウェアのダウンロードとインストールに誘導するためにサイバー犯罪者がよく使用する偽の Google Chrome Web ブラウザ「アップデート」ページを調査中に研究者によって発見されました。
以前のキャンペーンを調査したところ、研究者らは、人気のある「今買って後で支払う」金融サービスとオーストリアのデジタル認証アプリケーションを標的とするために Brokewell が使用されたことを発見しました。
このマルウェアは現在開発中であると言われており、キーストロークや画面に表示される情報からテキスト入力や被害者が起動したアプリに至るまで、デバイス上のあらゆるイベントを捕捉するための新しいコマンドがほぼ毎日追加されている。
ダウンロードが完了すると、Brokewell はターゲット アプリケーション上にオーバーレイ画面を作成し、ユーザーの認証情報を取得します。また、独自の WebView を起動し、onPageFinished メソッドをオーバーライドし、ユーザーがログイン プロセスを完了した後にセッション Cookie をダンプすることにより、ブラウザの Cookie を盗むこともできます。
「Brokewell には、タッチ、スワイプ、表示される情報、テキスト入力、開いたアプリケーションなど、デバイス上で発生するすべてのイベントをキャプチャする「アクセシビリティ ログ」が装備されています。すべてのアクションはログに記録され、コマンド アンド コントロール サーバーに送信され、侵害されたデバイスに表示または入力された機密データが事実上盗まれます」と ThreatFabric の研究者は指摘しています。
「この場合、どのアプリケーションもデータ侵害のリスクにさらされていることを強調することが重要です。Brokewell はあらゆるイベントをログに記録し、デバイスにインストールされているすべてのアプリケーションに脅威を与えます。」このマルウェアはさまざまな「スパイウェア」機能もサポートしており、デバイスに関する情報、通話履歴、位置情報を収集し、音声を録音することができます。
認証情報を盗んだ後、攻撃者はリモート制御機能を使用して画面ストリーミングを実行するデバイス乗っ取り攻撃を開始する可能性があります。また、指定された要素のタッチ、スワイプ、クリックなど、制御対象のデバイス上で実行できるさまざまなコマンドを脅威アクターに提供します。
ThreatFabric は、Brokewell のコマンド アンド コントロール (C2) ポイントとして使用されているサーバーの 1 つが、「Baron Samedit」と呼ばれる脅威アクターによって作成された「Brokewell Cyber Labs」と呼ばれるリポジトリのホストにも使用されていることを発見しました。
このリポジトリには、「Brokewell Android Loader」のソース コードが含まれていました。これは、Google が Android 13 以降で導入した制限をバイパスして、サイドロード アプリ (APK) のユーザー補助サービスの悪用を防ぐために設計された、同じ開発者の別のツールです。
ThreatFabric によると、Baron Samedit は少なくとも 2 年間活動しており、複数のサービスから盗まれたアカウントをチェックするツールを他のサイバー犯罪者に提供していますが、このツールはサービスとしてのマルウェアの運用をサポートするためにまだ改良される可能性があります。
「このマルウェア ファミリはほぼ毎日更新されていることがすでに確認されているため、このマルウェア ファミリはさらに進化すると予想されます。 Brokewell は、レンタル サービスとしてアンダーグラウンド チャネルで宣伝される可能性が高く、他のサイバー犯罪者の関心を引き付け、さまざまな地域を対象とした新しいキャンペーンを引き起こす可能性があります。」と研究者は結論付けています。
したがって、新たに発見された Brokewell のようなマルウェア ファミリによる潜在的な詐欺を効果的に特定して防止する唯一の方法は、デバイス、動作、アイデンティティ リスクなどの指標の組み合わせに基づいた、包括的で多層的な詐欺検出ソリューションを使用することです。それぞれの顧客。
Android マルウェア感染から身を守るには、アプリのサイドローディングやテキスト メッセージ内の短縮 URL を開かないようにし、インストールするアプリにアクセス許可を与える際には細心の注意を払うことをお勧めします。さらに、Google Play ストア以外から Android スマートフォンにアプリやアプリのアップデートをダウンロードしないでください。
さらに、Android デバイスで Google Play プロテクトを常に有効にして、現在のすべてのアプリとダウンロードした新しいアプリをマルウェアがないかスキャンします。セキュリティを強化するために、追加の Android ウイルス対策ソフトウェアをインストールすることも検討してください。
Googleは次のことを確認しましたセキュリティウィークGoogle Play プロテクトは、Google Play サービスを備えた Android デバイスでデフォルトで有効になっており、このマルウェアの既知のバージョンからユーザーを自動的に保護します。
また、Play 以外のソースからのアプリであっても、ユーザーに警告したり、悪意のある動作を示すことが知られているアプリをブロックしたりします。