Nueva amenaza bancaria en Android
Brokewell es un troyano bancario en desarrollo preparado para evadir protecciones incluidas en las versiones 13, 14 y 15 del sistema operativo
Restricted Settings
Desde la versión 13 de Android las aplicaciones que provienen de fuera del market oficial (side loading) cuentan con un nivel de configuración restringido que evita que puedan acceder a ciertos permisos.
El objetivo de esta medida de seguridad es proteger a los dispositivos de software malicioso, que suele abusar del acceso que se le concede para realizar su funcionalidad.
Tras la implementación de esta protección no tardaron en aparecer droppers que permitían saltarse la configuración restringida realizando una instalación basada en la sesión del usuario en vez de a nivel de sistema operativo.
Brokewell
Esta técnica es implementada por el troyano bancario para Android Brokewell, recientemente descubierto.
Según investigadores de Cyble, la nueva amenaza se encuentra en fases iniciales de su desarrollo, con versiones que aparecen casi a diario introduciendo cambios en su código fuente.
Los principales métodos que utiliza para el robo de credenciales son ataques de overlay y el registro de pulsaciones de teclado.
Las capacidades observadas por el momento son:
- Ataques de superposición.
- Registro de pulsaciones de teclado.
- Robo de cookies.
- Verificación de permisos de root en el dispositivo.
- Prevención contra la desinstalación.
- Robo de registro de llamadas, grabación de audio y pantalla.
- Envío de SMS.
- Auto desinstalación.
Además existen una gran variedad de comandos que permitirían a los atacantes tomar el control sobre el dispositivo infectado.
Descubrimiento, atribución y victimología
La primera muestra del nuevo malware se pudo recuperar del sitio hxxp[://]makingitorut[.]com que se hacía pasar por una página de actualización de Google Chrome para Android.
La APK alojada en dicho servidor es la que se ha identificado con funcionalidades de troyano bancario y se ha denominado Brokewell tras su análisis.
Esa primera muestra usa como infraestructura de comando y control el dominio mi6[.]operationanonrecoil[.]ru que apunta a la dirección IP 91[.]92[.]247[.]182. Aquí se hosteaba además un repositorio llamado “Brokewell Cyber Labs” creado por un tal “Baron Samedit Marais”.
Este contenía código fuente de un loader también diseñado para burlar la protección de configuración restringida, además de información de los creadores promocionando sus servicios.
Los desarrolladores de este malware han creado una página en la dark web en la que ofrecen, previo pago, múltiples herramientas para el robo de datos y comprobación de credenciales.
Del análisis de las cadenas del código fuente se deduce que, a pesar de estar diseñado para atacar principalmente a entidades bancarias alemanas, su radio de acción será más amplio en el futuro.
Entre los idiomas detectados se encuentran inglés, chino, francés, finés, árabe, indonesio, sueco y portugués.
Fuentes y más información:
- https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany/
- https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware#iocs
- https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/
- https://www.securityweek.com/powerful-brokewell-android-trojan-allows-attackers-to-takeover-devices/
- https://www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions
