セキュリティ研究者は、タッチや表示される情報からテキスト入力やユーザーが起動したアプリケーションまで、デバイス上のあらゆるイベントを捕捉することができるBrokewellと名付けられた新しいAndroidバンキング型トロイの木馬を発見した。
このマルウェアは、ウェブブラウザの使用中に表示される偽のGoogle Chromeアップデートを通じて配信される。Brokewellは現在活発に開発が進められており、広範なデバイスの乗っ取りとリモートコントロールの機能を併せ持っています。
Brokewellの詳細
詐欺リスク企業ThreatFabricの研究者は、ペイロードをドロップする偽のChromeアップデートページを調査した結果、Brokewellを発見しました。
過去のキャンペーンを調べてみると、Brokewellは以前にも「今すぐ買って、後で払う」金融サービス(Klarnaなど)を標的にしたり、ID Austriaと呼ばれるオーストリアのデジタル認証アプリケーションを装ったりするために使用されていたことがわかりました。
Brokewellの主な機能は、データを盗み、攻撃者にリモートコントロールを提供することです。
データを盗む:
- 標的のアプリケーションのログイン画面を模倣し、認証情報を盗む(オーバーレイ攻撃)。
- ユーザーが正規のサイトにログインした後、独自のWebViewを使用してクッキーを傍受し、抽出します。
- タップ、スワイプ、テキスト入力など、被害者のデバイスとのインタラクションをキャプチャし、デバイスに表示または入力された機密データを盗み出します。
- デバイスのハードウェアおよびソフトウェアの詳細を収集します。
- 通話ログを取得します。
- デバイスの物理的な位置を特定します。
- デバイスのマイクを使用して音声をキャプチャします。
デバイスの乗っ取り:
- 攻撃者がデバイスの画面をリアルタイムで見ることができます(画面ストリーミング)。
- 感染したデバイス上でタッチやスワイプのジェスチャをリモートで実行します。
- 指定した画面要素または座標をリモートでクリックできるようにします。
- 要素内でのリモートスクロールや、指定フィールドへのテキスト入力を可能にします。
- 戻る」、「ホーム」、「戻る」などの物理的なボタン押下をシミュレートします。
- リモートでデバイスの画面をアクティブにして、あらゆる情報をキャプチャできるようにします。
- 明るさや音量などの設定をゼロまで調整します。
新しい脅威アクターとローダー
ThreatFabricによると、Brokewellの背後にいる開発者は、Baron Sameditと名乗る個人であり、少なくとも2年間、盗まれたアカウントをチェックするためのツールを販売していました。
研究者は、同じくSameditによって開発された「Brokewell Android Loader」と呼ばれる別のツールを発見した。このツールは、Brokewellのコマンド&コントロール・サーバーとして動作するサーバーの1つでホストされており、複数のサイバー犯罪者によって使用されています。
興味深いことに、このローダーは、サイドロードされたアプリ(APK)のアクセシビリティ・サービスの悪用を防ぐためにグーグルがAndroid 13以降に導入した制限をバイパスすることができる。
このバイパスは2022年半ばから問題になっており、2023年後半には、ドロッパー・アズ・ア・サービス(DaaS)事業者がサービスの一部として提供したり、マルウェアがカスタムローダーにこの技術を組み込んだりすることで、より大きな問題となりました。
Brokewellで強調されたように、疑わしいソースからダウンロードされたAPKへのアクセシビリティ・サービスのアクセスを許可しないようにするための制限を迂回するローダーは、現在、一般的になり、広く野生で展開されている。
セキュリティ研究者は、Android向けBrokewell bankerで利用可能なようなデバイス乗っ取り機能は、被害者のデバイスから詐欺を実行できるため、詐欺の評価や検出ツールを回避できることから、サイバー犯罪者の間で需要が高いと警告している。
彼らは、Brokewellがさらに開発され、マルウェア・アズ・ア・サービス(MaaS)の一環として、アンダーグラウンド・フォーラムで他のサイバー犯罪者に提供されることを期待しています。
Androidのマルウェア感染から身を守るには、Google Play以外からのアプリやアプリのアップデートのダウンロードを避け、お使いの端末でPlayプロテクトが常に有効になっていることを確認してください。
Googleは、Google Playプロテクトがこのマルウェアの既知のバージョンからユーザーを自動的に保護することを確認しています。
Comments