Investigadores de ciberseguridad han descubierto un troyano, conocido como Brokewell, que se hace pasar por una actualización de Chrome en Android y proporciona a los ciberdelincuentes acceso remoto a todos los activos disponibles a través de la banca móvil.
Un troyano es un tipo de “malware” integrado en un archivo ejecutable aparentemente legítimo. Esto quiere decir que, una vez descargado, el archivo accede al dispositivo con la intención de ejecutar acciones maliciosas, como robar información.
Los analistas de la firma de seguridad ThreatFabric han descubierto una nueva familia de malware para móviles, denominada Brokewell, que “representa una importante amenaza para el sector bancario”, según señalan en un comunicado.
El troyano Brokewell, que parece estar en desarrollo activo y agrega nuevos comandos “casi a diario”, es capaz de eludir las restricciones de Android 13+ y viene como una actualización de Google Chrome.
En concreto, los ciberdelincuentes introducen una interfaz muy similar a la página de descarga del navegador legítimo, disfrazando así el malware bancario y utilizando ataques de superposición.
Esta es una técnica común para este tipo de software malicioso, en la que superpone una pantalla falsa en una aplicación específica para capturar las credenciales del usuario. Asimismo, tiene la capacidad de robar cookies de sesión y enviarlas a un servidor de comando y control (C2).
De esta forma, una vez obtienen las credenciales de acceso, los ciberdelincuentes pueden iniciar un ataque para apoderarse de los dispositivos. Para conseguirlo, el ‘malware’ transmite la pantalla al servidor, desde donde los agentes maliciosos pueden ejecutar determinados comandos.
Los responsables de la investigación también han señalado que Brokewell está equipado con un registro de accesibilidad, que captura cada evento que ocurre en el dispositivo, es decir, las pulsaciones de teclas en la pantalla o la información que muestran las aplicaciones abiertas.
Además de monitorear la actividad de las víctimas, el troyano también admite una variedad de funcionalidades de ‘spyware’, es decir, puede recopilar información sobre el dispositivo, historial de llamadas, geolocalización y grabar audio.
ACTIVO DESDE DOS AÑOS
ThreatFabric ha indicado que es posible que el troyano, cuyos desarrolladores no ocultan su identidad -ya que su repositorio, Brokewell Cyber Labs, viene con la firma ‘Baron Samedit’- sea promocionado en canales clandestinos, lo que puede atraer el interés de otros. ciberdelincuentes.
Este archivo también contiene el código fuente de Brokewell Android Loader -para teléfonos móviles con este sistema operativo-, otra herramienta del mismo desarrollador diseñada para evitar las restricciones de Android 13+ en el servicio de accesibilidad para aplicaciones de carga lateral.
Según el estudio, esto “tendrá un impacto significativo en el panorama de amenazas”, ya que más actores tendrán la capacidad de eludir las restricciones de este sistema operativo, que puede convertirse en una característica común para la mayoría de las familias de virus. malware móvil.
Por otro lado, los expertos creen que ‘Baron Samedit’ habría estado activo durante al menos dos años y que previamente habría proporcionado herramientas a otros ciberdelincuentes para comprobar cuentas robadas de múltiples servicios.
Los investigadores finalmente señalaron que estas familias de ‘malware’ “representan un riesgo importante para los clientes de las instituciones financieras”, lo que da lugar a casos de fraude “exitosos” que son “difíciles de detectar sin las medidas adecuadas”.
