Gli esperti di ThreatFabric specializzati in sicurezza informatica hanno messo le mani su Brokewell, un trojan bancario particolarmente sofisticato che prende di mira gli utenti Android. Il malware, che è ancora in fase di sviluppo attivo, si distingue dagli altri grazie (o grazie) alle sue ampie capacità di assumere il controllo dei dispositivi infetti e di gestirli da remoto.
Una minaccia crescente
Brokewell viene distribuito tramite un falso avviso di aggiornamento per il browser Google Chrome, una tecnica ingannevole utilizzata spesso per attirare gli utenti. Una volta installato, questo malware può catturare tutte le interazioni dell’utente con il proprio dispositivo, dalla digitazione del testo all’avvio delle applicazioni.
Il Trojan Brokewell ha diverse funzioni particolarmente allarmanti. Innanzitutto, imita le schermate di accesso delle app prese di mira per rubare le credenziali tramite attacchi overlay. Utilizza inoltre la propria WebView per intercettare ed estrarre i cookie dopo che l’utente accede a un sito legittimo, registrando interazioni come tocchi, passaggi e inserimenti di testo.
Inoltre, Brokewell è in grado di raccogliere dettagli sull’hardware e sul software del dispositivo della vittima, accedere ai registri delle chiamate, localizzare il dispositivo, registrare l’audio tramite il microfono e persino assumere il pieno controllo dello smartphone o del computer. Ciò include la visualizzazione in tempo reale dello schermo, l’esecuzione remota di gesti, il clic su elementi specifici dello schermo e la simulazione della pressione di pulsanti fisici.
I ricercatori attribuiscono lo sviluppo di Brokewell a un individuo soprannominato Barone Samedit. Da almeno due anni questo hacker vende strumenti per verificare la validità degli account rubati. È stato scoperto un altro strumento degno di nota, Brokewell Android Loader, anch’esso realizzato da Samedit. Questa utility aiuta a aggirare le restrizioni imposte da Google sui servizi di accessibilità per le applicazioni installate tramite sideloading, un problema che si è intensificato con l’emergere di servizi di distribuzione di malware.
I ricercatori mettono in guardia contro queste nuove tecniche che consentono ad applicazioni scaricate da fonti dubbie di ottenere un accesso normalmente limitato. Prevedono che Brokewell continuerà a essere sviluppato e distribuito nei forum clandestini come “malware as a service” (MaaS).
Per proteggersi dalle infezioni da malware Android, è consigliabile evitare di scaricare app o aggiornamenti di app al di fuori del Google Play Store e assicurarsi che Play Protect sia sempre abilitato sul suo dispositivo. Google ha confermato che Play Protect protegge automaticamente gli utenti dalle versioni conosciute di questo malware.
-
