Android-троян Brokewell ворует данные и отворяет дверь незваным гостям
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Android-троян Brokewell ворует данные и отворяет дверь незваным гостям

Татьяна Никитина 26 Апреля 2024 - 08:52
...
Android-троян Brokewell ворует данные и отворяет дверь незваным гостям

Анализ нового трояна для Android показал, что это типичный современный банкер, вооруженный всевозможными средствами кражи данных и обеспечения удаленного контроля над устройством. В ThreatFabric находке присвоили имя Brokewell.

В настоящее время зловред раздается под видом обновления Google Chrome. Поддельная страница браузера похожа на оригинал, но только на первый взгляд; по состоянию на 25 апреля угрозу распознают 20 антивирусов из 66 на VirusTotal.

 

В ходе исследования были также найдены образцы Brokewell, замаскированные под приложение шведского сервиса Klarna (покупки в рассрочку) и софт для аутентификации ID Austria.

Основные функции трояна связаны с кражей данных и возможностью перехвата контроля над зараженным устройством.

Кража данных и шпионаж:

  • сбор информации об устройстве;
  • определение местоположения;
  • оверлейные атаки (наложение фишинговых окон поверх страниц входа в приложения);
  • перехват сессионных куки с использованием WebView;
  • регистрация событий в рамках взаимодействия жертвы с устройством (нажатия, свайпы, текстовый ввод и т. п.);
  • копирование журнала звонков;
  • прослушка через микрофон.

Выполнение команд оператора:

  • включение экрана;
  • действия в соответствии с жестами (касания, свайпы, прокрутка, клики по элементам экрана);
  • ввод текста в указанные поля;
  • имитация нажатия системных кнопок («Назад», «Домой», «Недавние»);
  • трансляция контента с экрана устройства в реальном времени (скрин-стриминг);
  • имитация вибрации;
  • сброс яркости и громкости до нуля.

Вредоносная программа пока находится в стадии активной разработки. Не исключено, что со временем Brokewell станут продавать на подпольных форумах как услугу (Malware-as-a-Service, MaaS) — подобно похожему Hook и другим многофункциональным зловредам.

Примечательно, что создатель трояна (некто Baron Samedit) пару лет назад торговал инструментами валидации краденых учетных данных. На одном из C2-серверов Brokewell исследователи обнаружили еще одно творение «барона» — Brokewell Android Loader. Загрузчик активно используется с целью обхода ограничений на доступ к AccessibilityService API для сторонних приложений (Restricted Settings, введены Google с выпуском Android 13).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперт: подозрительны переводы свыше ₽100 тыс. и частые — более 30 в день
Татьяна Никитина 11 Ноября 2025 - 16:27
МошенничествоДроп (дроппер) Домашние пользователи
Эксперт: подозрительны переводы свыше ₽100 тыс. и частые — более 30 в день

Сотрудник Банки.ру пояснила для «Прайм», чем руководствуются банки, запуская проверку переводов физлиц в рамках борьбы с мошенничеством. Внимание прежде всего могут привлечь крупные суммы, свыше 100 тыс. руб. в день и более 1 млн в месяц.

Характерными сигналами работы дропа также являются частота операций по списанию / зачислению средств (чаще 30 в сутки) и большое количество адресатов.

Однако в реальности таких признаков, по словам аналитика, намного больше, и банки рассматривают их в совокупности. Поведение клиента может быть сочтено подозрительным, если счет используется лишь для переводов, и обычные платежи (ЖКХ, покупки, налоги и штрафы) по нему не проводятся.

«Очень быстрая переадресация только что зачисленных средств не выглядит как обычная бытовая финансовая активность и означает, что счет служит коридором для передачи денег дальше», — отметила также Эряния Бочкина.

Чтобы не выйти за рамки нормального профиля клиента банка и не попасть в черный список Банка России, эксперт советует россиянам сохранять свидетельства происхождения денег на счете, избегать множественных переводов, ограничить круг получателей денежных средств и не перекидывать деньги сразу по их получении — даже на собственные счета.

Напомним, дропперство в России теперь признано преступлением, за которое могут посадить на три года. Для снижения уровня мошенничества и активности дроперов в стране также с декабря могут ограничить число банковских карт, выдаваемых в одни руки, — до 20-ти, а в одной кредитно-финансовой организации — до пяти.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
131 расширение для Chrome использует WhatsApp Web для рассылки спама
Новость
131 расширение для Chrome использует WhatsApp Web для рассыл...
Сенатор США обвинил Microsoft в уязвимом шифровании RC4
Новость
Сенатор США обвинил Microsoft в уязвимом шифровании RC4
55% подрядчиков российских компаний уязвимы для кибератак
Новость
55% подрядчиков российских компаний уязвимы для кибератак

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.