New Brokewell malware takes over Android devices, steals data

セキュリティ研究者は、タッチや表示される情報からテキスト入力やユーザーが起動したアプリケーションまで、デバイス上のあらゆるイベントを捕捉することができるBrokewellと名付けられた新しいAndroidバンキング型トロイの木馬を発見した。

このマルウェアは、ウェブブラウザの使用中に表示される偽のGoogle Chromeアップデートを通じて配信される。Brokewellは現在活発に開発が進められており、広範なデバイスの乗っ取りとリモートコントロールの機能を併せ持っています。

Brokewellの詳細

詐欺リスク企業ThreatFabricの研究者は、ペイロードをドロップする偽のChromeアップデートページを調査した結果、Brokewellを発見しました。

Legitimate (left) and fake (right) Chrome update pages
正規(左)と偽(右)のChromeアップデートページ
ThreatFabric

過去のキャンペーンを調べてみると、Brokewellは以前にも「今すぐ買って、後で払う」金融サービス(Klarnaなど)を標的にしたり、ID Austriaと呼ばれるオーストリアのデジタル認証アプリケーションを装ったりするために使用されていたことがわかりました。

APKs used for distributing Brokewell
Brokewell の配布に使用された APK
ThreatFabric

Brokewellの主な機能は、データを盗み、攻撃者にリモートコントロールを提供することです。

データを盗む:

  • 標的のアプリケーションのログイン画面を模倣し、認証情報を盗む(オーバーレイ攻撃)。
  • ユーザーが正規のサイトにログインした後、独自のWebViewを使用してクッキーを傍受し、抽出します。
  • タップ、スワイプ、テキスト入力など、被害者のデバイスとのインタラクションをキャプチャし、デバイスに表示または入力された機密データを盗み出します。
  • デバイスのハードウェアおよびソフトウェアの詳細を収集します。
  • 通話ログを取得します。
  • デバイスの物理的な位置を特定します。
  • デバイスのマイクを使用して音声をキャプチャします。
Stealing the victim's credentials
被害者の認証情報を盗む
ThreatFabric

デバイスの乗っ取り:

  • 攻撃者がデバイスの画面をリアルタイムで見ることができます(画面ストリーミング)。
  • 感染したデバイス上でタッチやスワイプのジェスチャをリモートで実行します。
  • 指定した画面要素または座標をリモートでクリックできるようにします。
  • 要素内でのリモートスクロールや、指定フィールドへのテキスト入力を可能にします。
  • 戻る」、「ホーム」、「戻る」などの物理的なボタン押下をシミュレートします。
  • リモートでデバイスの画面をアクティブにして、あらゆる情報をキャプチャできるようにします。
  • 明るさや音量などの設定をゼロまで調整します。

新しい脅威アクターとローダー

ThreatFabricによると、Brokewellの背後にいる開発者は、Baron Sameditと名乗る個人であり、少なくとも2年間、盗まれたアカウントをチェックするためのツールを販売していました。

Tools sold on the threat actor's website
脅威行為者のウェブサイトで販売されているツール
ThreatFabric

研究者は、同じくSameditによって開発された「Brokewell Android Loader」と呼ばれる別のツールを発見した。このツールは、Brokewellのコマンド&コントロール・サーバーとして動作するサーバーの1つでホストされており、複数のサイバー犯罪者によって使用されています。

興味深いことに、このローダーは、サイドロードされたアプリ(APK)のアクセシビリティ・サービスの悪用を防ぐためにグーグルがAndroid 13以降に導入した制限をバイパスすることができる。

このバイパスは2022年半ばから問題になっており、2023年後半には、ドロッパー・アズ・ア・サービス(DaaS)事業者がサービスの一部として提供したり、マルウェアがカスタムローダーにこの技術を組み込んだりすることで、より大きな問題となりました。

Brokewellで強調されたように、疑わしいソースからダウンロードされたAPKへのアクセシビリティ・サービスのアクセスを許可しないようにするための制限を迂回するローダーは、現在、一般的になり、広く野生で展開されている。

セキュリティ研究者は、Android向けBrokewell bankerで利用可能なようなデバイス乗っ取り機能は、被害者のデバイスから詐欺を実行できるため、詐欺の評価や検出ツールを回避できることから、サイバー犯罪者の間で需要が高いと警告している。

彼らは、Brokewellがさらに開発され、マルウェア・アズ・ア・サービス(MaaS)の一環として、アンダーグラウンド・フォーラムで他のサイバー犯罪者に提供されることを期待しています。

Androidのマルウェア感染から身を守るには、Google Play以外からのアプリやアプリのアップデートのダウンロードを避け、お使いの端末でPlayプロテクトが常に有効になっていることを確認してください。

Googleは、Google Playプロテクトがこのマルウェアの既知のバージョンからユーザーを自動的に保護することを確認しています。