近日，安全研究人員發現一種新型安卓銀行木馬 Brokewell，該惡意軟件幾乎“無所不能”，可以任意捕獲安卓設備上的顯示信息，文本輸入以及用戶啟動的應用程序。

據悉，Brokewell 惡意軟件主要通過 Web 瀏覽器運行時彈出的虛假 Google Chrome 更新進行傳遞，具有廣泛的設備接管和遠程控制功能。

Brokewell 惡意軟件詳細信息

ThreatFabric 研究人員在調查某一個虛假 Chrome 瀏覽器更新頁面時發現 Brokewell 惡意軟件。通過仔細觀察，研究人員發現更新頁面會投放一個有效載荷，誘騙毫無戒心的用戶安裝惡意軟件。

合法（左）和假冒（右）Chrome 瀏覽器更新頁面

隨著調查深入，研究人員發現 Brokewell 惡意軟件曾被用于針對 "先買后付"的金融服務（如 Klarna），并偽裝成名為 ID Austria 的奧地利數字身份驗證應用程序。

用于分發 Brokewell 惡意軟件的 APK

Brokewell 惡意軟件會竊取數據，并向攻擊者提供遠程控制。

竊密類型：

• 模仿目標應用程序的登錄屏幕來竊取憑證(覆蓋攻擊);
• 在用戶登錄合法網站后，使用自己的 WebView 截取并提取 cookies;
• 捕捉受害者與設備的交互，包括點擊、輕掃和文本輸入，以竊取設備上顯示或輸入的敏感數據;
• 收集設備的硬件和軟件詳細信息;
• 檢索通話記錄
• 確定設備的物理位置;
• 使用設備的麥克風捕捉音頻。

竊取受害者的證書

設備接管：

• 允許攻擊者實時查看設備屏幕(屏幕流);
• 在受感染設備上遠程執行觸摸和輕掃手勢;
• 允許遠程點擊指定的屏幕元素或坐標;
• 允許遠程滾動元素并在指定字段中輸入文本;
• 模擬物理按鍵，如 "返回"、"主頁 "和 "收藏";
• 遠程激活設備屏幕，以便捕捉任何信息;
• 將亮度和音量等設置調整為零。

ThreatFabric 在報告中披露，Brokewell 惡意軟件背后的開發人員是一個自稱 Baron Samedit 的人，該威脅攻擊者近幾年來一直在銷售用于檢查被盜帳戶的工具。

威脅攻擊者的網站上出售的工具

值得一提的是，研究人員還發現了另一款名為 "Brokewell Android Loader "的工具，也是由 Samedit 開發的，該工具托管在充當 Brokewell 命令和控制服務器的一臺服務器上，目前正在被多個網絡威脅攻擊者使用。

Brokewell Android Loader  工具可以幫助威脅攻擊者繞過谷歌在 Android 13 及以后版本中引入的安全措施。最后，安全專家強調，組織要保護自己免受 Android 惡意軟件感染，請避免從 Google Play 以外下載應用程序或應用程序更新，并確保 Play Protect 在您的設備上始終處于激活狀態。

參考文章：https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/