Brokewell Mobile 恶意软件通过虚假 Chrome 更新进行传播

伪造的浏览器更新被用来传播一种名为 Brokewell 的新型 Android 恶意软件，这种恶意软件之前并未被记录下来。

根据安全研究人员于 2024 年 4 月发布的分析，Brokewell 是一种当代银行恶意软件，具有数据窃取和远程控制功能。

该恶意软件正在积极发展，持续的开发引入了新的命令来捕获触摸事件、屏幕文本和启动的应用程序。

Brokewell 会伪装成各种应用程序，包括 Google Chrome、ID Austria 和 Klarna：

• jcwAz.EpLIq.vcAZiUGZpK (谷歌浏览器)
• zRFxj.ieubP.lWZzwlluca（ID 奥地利）
• com.brkwl.upstracking（Klarna）

与最近出现的其他 Android 恶意软件一样，Brokewell 可以规避 Google 对试图请求无障碍服务权限的侧载应用程序的限制。

一旦安装并启动，银行木马就会提示受害者授予无障碍服务权限，从而自动授予其他权限来执行恶意活动。

Brokewell 带有多种恶意工具包

Brokewell 的功能包括显示覆盖屏幕以窃取用户凭证、拦截会话 cookie、录制音频、截屏、访问通话记录和设备位置、列出已安装的应用程序、发送短信、拨打电话、安装/卸载应用程序以及禁用辅助功能服务。

该恶意软件允许威胁行为者远程查看实时屏幕内容并通过点击、滑动和触摸与设备交互。

Brokewell 的开发者是一位化名为“Baron Samedit Marais”的开发人员，他负责管理“Brokewell Cyber Labs”项目。该项目包括一个托管在 Gitea 上的 Android Loader，旨在绕过特定 Android 版本的可访问性权限限制并部署木马植入程序。

该加载程序类似于植入程序，它会生成默认包名为“com.brkwl.apkstore”的应用程序，其他试图逃避 Android 安全措施的威胁行为者可能会访问这些应用程序。