Brokewell Mobile Malware
サイバー犯罪者は、不正なブラウザ更新を利用して、新たに特定された Android マルウェア「Brokewell」を配布しています。このマルウェアは、データ窃盗と侵入したデバイスのリモート制御の両方を目的とした機能を備えた、現代の銀行マルウェアの強力な例です。研究者は、Brokewell が活発に開発されており、タッチ イベント、画面上のテキスト、被害者が起動したアプリケーションの詳細をキャプチャできるようにするなど、悪意のある機能を拡張する新しいコマンドを導入する継続的な更新が行われていると警告しています。
目次
Brokewell モバイルマルウェアは正規のアプリケーションを装う
Brokewell は、次のパッケージ名を使用して、Google Chrome、ID Austria、Klarna などの正規のアプリケーションを装います。
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID オーストリア)
com.brkwl.upstracking (クラーナ)
最近の他の Android マルウェアと同様に、Brokewell は、サイドロードされたアプリケーションがアクセシビリティ サービスの権限を要求することを禁止する Google の制限を回避することに長けています。
インストールして初めて起動すると、バンキング型トロイの木馬は被害者にアクセシビリティ サービスの許可を要求します。許可が取得されると、これらの許可は追加の許可を付与し、さまざまな悪意のあるアクティビティを自動的に実行するために使用されます。
Brokewell の機能には、標的のアプリケーションの上にオーバーレイ画面を表示してユーザーの認証情報を収集することが含まれます。さらに、WebView を起動して正規の Web サイトをロードし、セッション クッキーを傍受して悪意のある攻撃者が管理するサーバーに送信することで、クッキーを抽出できます。
Brokewell バンキング型トロイの木馬は、数多くの有害な動作を実行できます。
Brokewell の追加機能には、オーディオの録音、スクリーンショットのキャプチャ、通話履歴へのアクセス、デバイスの位置情報の取得、インストールされているアプリの一覧表示、すべてのデバイス イベントの記録、SMS メッセージの送信、電話の発信、アプリのインストールとアンインストール、さらにはアクセシビリティ サービスの無効化も含まれます。
さらに、脅威の攻撃者はマルウェアのリモート制御機能を悪用して、リアルタイムの画面コンテンツを表示し、クリック、スワイプ、タッチをシミュレートしてデバイスを操作することができます。
新たな脅威アクターがモバイルマルウェア「Brokewell」の犯人である可能性
Brokewell の開発者と思われる人物は、Baron Samedit という別名で知られています。研究者らは、この脅威アクターは少なくとも 2 年間、盗まれたアカウントを検証するためのツールを販売していることで知られています。専門家らはまた、Samedit に起因する別のツール「Brokewell Android Loader」を発見しました。これは、Brokewell が使用するコマンド アンド コントロール (C2) サーバーでホストされ、複数のサイバー犯罪者がアクセスします。
特に、このローダーは、サイドロードされたアプリ (APK) によるアクセシビリティ サービスの悪用を防ぐために Android 13 以降のバージョンで実装された Google の制限を回避できます。
このバイパスは 2022 年半ばから懸念され続けており、2023 年後半には、これをサービスの一部として提供するドロッパー アズ ア サービス (DaaS) オペレーションの出現と、これらの手法をカスタマイズされたローダーに組み込んだマルウェアの出現により、大幅にエスカレートしました。
Brokewell の例のように、信頼性の低いチャネルから入手した APK のアクセシビリティ サービスへのアクセスを阻止する制限を回避するローダーが、サイバー脅威の分野で普及し、広く配布されるようになりました。
サイバー犯罪者は乗っ取り機能を備えたマルウェアツールを利用している
セキュリティ専門家は、Android 向けの Brokewell バンキング マルウェアに見られるデバイス乗っ取り機能がサイバー犯罪者に非常に狙われていると警告しています。これらの機能により、被害者のデバイスから直接詐欺を実行できるため、犯罪者は詐欺検出および評価ツールを回避できます。
Brokewell は今後さらに開発が進められ、マルウェア・アズ・ア・サービス (MaaS) の一部として地下フォーラムを通じて他のサイバー犯罪者に配布される可能性があると予想されます。
Android マルウェア感染を防ぐには、Google Play 以外のソースからアプリケーションやアップデートをダウンロードしないでください。デバイスのセキュリティを強化するために、デバイスで Google Play プロテクトが常に有効になっていることを確認してください。