Multi-License Discount Quote
脅威データベース Mobile Malware Brokewell Mobile Malware

Brokewell Mobile Malware

Mobile Malware, Banking TrojanMezoまで
翻訳内容:
日本語

サイバー犯罪者は、不正なブラウザ更新を利用して、新たに特定された Android マルウェア「Brokewell」を配布しています。このマルウェアは、データ窃盗と侵入したデバイスのリモート制御の両方を目的とした機能を備えた、現代の銀行マルウェアの強力な例です。研究者は、Brokewell が活発に開発されており、タッチ イベント、画面上のテキスト、被害者が起動したアプリケーションの詳細をキャプチャできるようにするなど、悪意のある機能を拡張する新しいコマンドを導入する継続的な更新が行われていると警告しています。

Brokewell モバイルマルウェアは正規のアプリケーションを装う

Brokewell は、次のパッケージ名を使用して、Google Chrome、ID Austria、Klarna などの正規のアプリケーションを装います。

jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)

zRFxj.ieubP.lWZzwlluca (ID オーストリア)

com.brkwl.upstracking (クラーナ)

最近の他の Android マルウェアと同様に、Brokewell は、サイドロードされたアプリケーションがアクセシビリティ サービスの権限を要求することを禁止する Google の制限を回避することに長けています。

インストールして初めて起動すると、バンキング型トロイの木馬は被害者にアクセシビリティ サービスの許可を要求します。許可が取得されると、これらの許可は追加の許可を付与し、さまざまな悪意のあるアクティビティを自動的に実行するために使用されます。

Brokewell の機能には、標的のアプリケーションの上にオーバーレイ画面を表示してユーザーの認証情報を収集することが含まれます。さらに、WebView を起動して正規の Web サイトをロードし、セッション クッキーを傍受して悪意のある攻撃者が管理するサーバーに送信することで、クッキーを抽出できます。

Brokewell バンキング型トロイの木馬は、数多くの有害な動作を実行できます。

Brokewell の追加機能には、オーディオの録音、スクリーンショットのキャプチャ、通話履歴へのアクセス、デバイスの位置情報の取得、インストールされているアプリの一覧表示、すべてのデバイス イベントの記録、SMS メッセージの送信、電話の発信、アプリのインストールとアンインストール、さらにはアクセシビリティ サービスの無効化も含まれます。

さらに、脅威の攻撃者はマルウェアのリモート制御機能を悪用して、リアルタイムの画面コンテンツを表示し、クリック、スワイプ、タッチをシミュレートしてデバイスを操作することができます。

新たな脅威アクターがモバイルマルウェア「Brokewell」の犯人である可能性

Brokewell の開発者と思われる人物は、Baron Samedit という別名で知られています。研究者らは、この脅威アクターは少なくとも 2 年間、盗まれたアカウントを検証するためのツールを販売していることで知られています。専門家らはまた、Samedit に起因する別のツール「Brokewell Android Loader」を発見しました。これは、Brokewell が使用するコマンド アンド コントロール (C2) サーバーでホストされ、複数のサイバー犯罪者がアクセスします。

特に、このローダーは、サイドロードされたアプリ (APK) によるアクセシビリティ サービスの悪用を防ぐために Android 13 以降のバージョンで実装された Google の制限を回避できます。

このバイパスは 2022 年半ばから懸念され続けており、2023 年後半には、これをサービスの一部として提供するドロッパー アズ ア サービス (DaaS) オペレーションの出現と、これらの手法をカスタマイズされたローダーに組み込んだマルウェアの出現により、大幅にエスカレートしました。

Brokewell の例のように、信頼性の低いチャネルから入手した APK のアクセシビリティ サービスへのアクセスを阻止する制限を回避するローダーが、サイバー脅威の分野で普及し、広く配布されるようになりました。

サイバー犯罪者は乗っ取り機能を備えたマルウェアツールを利用している

セキュリティ専門家は、Android 向けの Brokewell バンキング マルウェアに見られるデバイス乗っ取り機能がサイバー犯罪者に非常に狙われていると警告しています。これらの機能により、被害者のデバイスから直接詐欺を実行できるため、犯罪者は詐欺検出および評価ツールを回避できます。

Brokewell は今後さらに開発が進められ、マルウェア・アズ・ア・サービス (MaaS) の一部として地下フォーラムを通じて他のサイバー犯罪者に配布される可能性があると予想されます。

Android マルウェア感染を防ぐには、Google Play 以外のソースからアプリケーションやアップデートをダウンロードしないでください。デバイスのセキュリティを強化するために、デバイスで Google Play プロテクトが常に有効になっていることを確認してください。

トレンド

ベース認証

Rogue Websites, Adware, Browser Hijackers
Baseauthenticity.co.in は、訪問者を騙して不要なブラウザ通知を購読させるように特別に作成された、欺瞞的な Web サイトとして運営されています。この侵入的な戦術を採用することに加えて、この Web サイトはリダイレクトをトリガーする機能を備えている可能性があり、信頼性に欠け、ユーザーのオンライン セキュリティとプライバシーを危険にさらす可能性のある他のオンラインの目的地...

nccTrojan

Trojans, Advanced Persistent Threat (APT), Backdoors
nccTrojan の脅威は、TA428 として知られる中国が支援する APT (Advanced Persistent Threat) グループによって実行されたと考えられる一連の攻撃で使用されています。サイバー犯罪者は、東ヨーロッパのいくつかの国とアフガニスタンにある軍事関連の企業や公的機関を標的にしています。脅迫キャンペーンの目的は、データ収集とサイバー スパイ活動であると思われ、攻撃...

メールの更新期限詐欺

Phishing, Spam
サイバーセキュリティ研究者は、「メールの更新期限です」というメールを徹底的に調査した結果、その信頼性のなさを決定的に突き止めました。これらの詐欺メールは、フィッシング攻撃の手段であることが明確に特定されています。通常、受信者のメール アカウントの保存容量が限界に近づいており、アップグレードが必要であると主張します。この欺瞞的なスパム キャンペーンの主な目的は、正当なメール サービス プロバイダーのログイン ページを模倣したフィッシング Web サイトに誘導して、疑いを持たない被害者を騙し、ログイン認証情報を漏らさせることです。 更新期限を知らせるメール詐欺はユーザーの機密情報を漏洩させよ...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
79,905
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
63,703
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
58,267
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...