Nuevo Malware para Android ‘Brokewell’ se Propaga a Través de Falsas Actualizaciones de Navegador

XPoint
Publicado el 26/04/2024

El malware para Android Actualizaciones falsas de navegador están siendo utilizadas para propagar un malware para Android previamente no documentado llamado Brokewell.

«Brokewell es un típico malware bancario moderno equipado con capacidades de robo de datos y control remoto integradas en el malware,» dijo la firma de seguridad holandesa ThreatFabric en un análisis publicado el jueves.

Se dice que el malware está en desarrollo activo, añadiendo nuevos comandos para capturar eventos táctiles, información textual mostrada en pantalla y las aplicaciones que lanza una víctima.

La lista de aplicaciones Brokewell que se hacen pasar por Google Chrome, ID Austria y Klarna es la siguiente:

jcwAz.EpLIq.vcAZiUGZpK (Google Chrome) zRFxj.ieubP.lWZzwlluca (ID Austria) com.brkwl.upstracking (Klarna) Como otras familias recientes de malware para Android de su tipo, Brokewell es capaz de evadir las restricciones impuestas por Google que impiden que las aplicaciones cargadas lateralmente soliciten permisos de servicio de accesibilidad.

Ciberseguridad El troyano bancario, una vez instalado y lanzado por primera vez, solicita a la víctima que conceda permisos al servicio de accesibilidad, que posteriormente utiliza para conceder automáticamente otros permisos y llevar a cabo diversas actividades maliciosas.

Esto incluye mostrar pantallas superpuestas sobre aplicaciones objetivo para robar credenciales de usuario. También puede robar cookies mediante el lanzamiento de un WebView y la carga del sitio web legítimo, después de lo cual las cookies de sesión son interceptadas y transmitidas a un servidor controlado por un actor.

Malware para Android Algunas de las otras características de Brokewell incluyen la capacidad de grabar audio, tomar capturas de pantalla, recuperar registros de llamadas, acceder a la ubicación del dispositivo, listar aplicaciones instaladas, registrar cada evento que sucede en el dispositivo, enviar mensajes SMS, realizar llamadas telefónicas, instalar y desinstalar aplicaciones, e incluso desactivar el servicio de accesibilidad.

Los actores de amenazas también pueden aprovechar la funcionalidad de control remoto del malware para ver lo que se muestra en la pantalla en tiempo real, así como interactuar con el dispositivo a través de clics, deslizamientos y toques.

Se dice que Brokewell es obra de un desarrollador que utiliza el nombre «Baron Samedit Marais» y gestiona el proyecto «Brokewell Cyber Labs», que también incluye un cargador de Android alojado públicamente en Gitea.

Ciberseguridad El cargador está diseñado para actuar como un dropper que evita las restricciones de permisos de accesibilidad en las versiones 13, 14 y 15 de Android utilizando una técnica previamente adoptada por ofertas de droppers como servicio (DaaS) como SecuriDropper y desplegar el implante del troyano.

Por defecto, las aplicaciones de cargador generadas a través de este proceso tienen el nombre de paquete «com.brkwl.apkstore», aunque esto puede ser configurado por el usuario proporcionando un nombre específico o habilitando el generador de nombres de paquete aleatorio.

La disponibilidad gratuita del cargador significa que podría ser adoptado por otros actores de amenazas que buscan eludir las protecciones de seguridad de Android.

«En segundo lugar, las ofertas existentes de ‘Dropper-as-a-Service’ que actualmente proporcionan esta capacidad como una característica distintiva probablemente cerrarán sus servicios o intentarán reorganizarse,» dijo ThreatFabric.

«Esto reduce aún más la barrera de entrada para los cibercriminales que buscan distribuir malware móvil en dispositivos modernos, facilitando que más actores ingresen al campo.»

Preguntas frecuentes

¿Qué es el Malware?

+

El Malware, abreviatura de «software malicioso», es cualquier código de software o programa informático escrito de manera intencionada para dañar un sistema informático o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos