I ricercatori di ThreatFabric hanno scoperto un nuovo malware che minaccia gli smartphone Android. Questo Trojan bancario è stato nominato Brokewell. Ancora in fase di sviluppo, questo malware “inedito”rappresenta un “minaccia significativa” per le applicazioni mobili offerte dalle banche. Il software è infatti progettato per consentire ai criminali informatici di sottrarre il contenuto del tuo conto bancario.
Leggi anche: Gli hacker nordcoreani utilizzano gli antivirus per diffondere malware dal 2019
Un falso aggiornamento di Chrome
Nel suo rapporto, ThreatFabric spiega di aver scoperto l’esistenza di Brokewell indagando su una pagina dannosa dedicata a un aggiornamento falso da Google Chrome. Molto classico nel suo funzionamento, la pagina precisa che a “è necessario un aggiornamento” al tuo browser web. Non sorprende che questo falso aggiornamento installerà malware sul tuo telefono.
“L’imitazione di un aggiornamento del browser è un metodo comune utilizzato dai criminali informatici per indurre le vittime a scaricare e installare malware”dichiara ThreatFabric, ritenendo che questa pagina apparentemente “innocente” ingannerà soprattutto gli utenti di Internet “ignaro”.
Un “attacco sovrapposto”
Una volta riuscito a penetrare negli smartphone dei suoi obiettivi, Brokewell metterà in atto diverse misure per farlo rubare i dati dell’utente, comprese le coordinate bancarie. Ad esempio, il malware sovrapporrà false finestre di accesso all’applicazione bancaria installata sul telefono. Convinta a consultare l’app della propria banca, la vittima inserirà i propri dati di connessione, come la password.
Gli hacker quindi esfiltrano i dati e possono utilizzarli per accedere all’account. Questo è “una tecnica comune” per malware su Android, in particolare per un cavallo di Troia. Anche SOVA, un virus che prende di mira più di 200 app bancarie, fa lo stesso.
“Controllo totale”
Inoltre, Brokewell è in grado di spiare tutte le informazioni digitate tramite la tastiera virtuale. Tutte le interazioni tra te e il tuo smartphone sono effettivamente monitorate dal software. Il malware è anche in grado di attivare il microfono. Da quel momento in poi, potrà registrare tutti i suoni intorno a te, comprese le tue conversazioni, a tua insaputa. Infine, il virus si impadronisce della posizione geografica del telefono, dello storico delle chiamate e della scheda tecnica del dispositivo. Come sottolinea il rapporto, il malware trasporta un file “varietà di funzionalità” degno di spyware o spyware.
Secondo ThreatFabric, Brokewell in realtà lo ha fatto‘un arsenale di strumenti destinati a facilitare le operazioni dei criminali informatici. Grazie al virus gli hacker sono in grado di monitorare tutto ciò che viene visualizzato sullo schermo o interagire con l’interfaccia. Ad esempio, possono fare clic sugli elementi o inserire del testo per te. I criminali informatici si concedono “pieno controllo sul dispositivo infetto”.
BernerAndroid 13
Dopo aver indagato, ThreatFabric ha scoperto che Brokewell è opera di un hacker che si fa chiamare Baron Samedit. Attivo nel mondo criminale da due anni, l’hacker ha finora venduto programmi che verificano la validità di un account compromesso. Lo sviluppatore, che si presenta anche come “reverse engineer, amministratore di sistema, imprenditore, project manager, imprenditore di armi informatiche, consulente tecnico, mentore di talenti e studente post-laurea”ha recentemente iniziato a offrire soluzioni per attacchi contro smartphone Android.
È in particolare all’origine di uno strumento chiamato Brokewell Android Loader. Questo programma consente a un utente malintenzionato di aggirare le misure di sicurezza di Android 13. L’aggiornamento, lanciato nel 2022, imponeva restrizioni sulle app che non erano installate dal Play Store. Google ha decretato una serie di limiti per le app provenienti da APK o store di terze parti. Ad esempio, non possono accedere a funzionalità sensibili, come l’API di accessibilità o le notifiche. Il software progettato da Baron Samedit consente di ignorare queste restrizioni, facilitando così il lavoro dei criminali informatici.
ThreatFabric prevede che Brokewell venga reso disponibile agli hacker tramite un abbonamento, “attirando l’interesse di altri criminali informatici e innescando nuove campagne mirate a diverse regioni”. Questo è il motivo per cui possiamo temere che il malware possa causare danni nel prossimo futuro.
-
