La compañía de prevención de riesgos de fraude ThreatFabric ha detectado un nuevo software malicioso al investigar una página falsa de actualización de Chrome en el sistema Android, que esconde en la descarga un troyano bancario. Los expertos lo denominaron Brokewell, y sus principales objetivos son extraer datos y permitir a los atacantes controlar el dispositivo.
Desde ThreatFabric advierten que Brokewell representa una amenaza importante para la industria bancaria, ya que proporciona a los atacantes acceso remoto a todos los activos disponibles a través de la banca móvil.
Cuando el usuario utiliza el navegador Chrome en su dispositivo Android, una notificación de actualización falsa aparece en pantalla. Si está desprevenido y accede, Brokewell se instala y comienza a espiar a la víctima, a la vez que le permite al ciberatacante usar el dispositivo para realizar fraudes evadiendo las herramientas de evaluación y detección.
El análisis de los especialistas reveló que la aplicación descargada es una familia de malware nunca antes vista con una amplia gama de capacidades.
Se teme que Brokewell se desarrolle aún más y se ofrezca a otros atacantes en foros clandestinos como parte de una operación de malware como servicio (MaaS).
Para apoderarse de credenciales, imita las pantallas de inicio de sesión de las aplicaciones, en lo que se denomina ataque de superposición. Posee su propio WebView (el visor de páginas web dentro de una aplicación), que le permite interceptar y extraer cookies después de que el usuario inicia sesión en un sitio legítimo.
Posee funcionalidades de spyware: puede acceder al registro de llamadas, recopilar detalles del hardware y el software, acceder a la ubicación física y hasta tiene la capacidad de grabar audio utilizando el micrófono del dispositivo.
También captura toda la interacción de la víctima con el dispositivo, como toques, deslizamientos, entradas de texto, información mostrada y aplicaciones abiertas. Todas las acciones se registran y se envían al servidor de comando y control, robando efectivamente cualquier dato confidencial mostrado o ingresado en el dispositivo comprometido. Esto lo convierte en una amenaza para todas las aplicaciones instaladas en el dispositivo.
Una vez que Brokewell tiene credenciales en su poder, los atacantes pueden iniciar un ataque de adquisición de dispositivos utilizando capacidades de control remoto. Y para ello, el malware realiza transmisión de pantalla (en tiempo real) y proporciona al actor una variedad de acciones que se pueden ejecutar en el dispositivo controlado.
Tocar y seleccionar, deslizar, escribir texto en campos específicos, simular botones físicos como Atrás, Inicio y Recientes, ajustar configuraciones como brillo o volumen y hasta activar la pantalla del dispositivo de forma remota para que cualquier información esté disponible para su captura.
Otras capacidades detectadas son el deslizamiento de la pantalla hacia arriba o abajo, simular la vibración de una notificación, así como iniciar o detener la transmisión de pantalla.
A través de Brokewell, “los actores tienen control total sobre el dispositivo infectado, lo que les permite realizar acciones en nombre de la víctima. Estas capacidades podrían ampliarse aún más en el futuro mediante la automatización de acciones específicas para agilizar el ataque de adquisición de dispositivos para los actores y potencialmente crear un sistema de transferencia automatizada (ATS) funcional”, advierte el informe de ThreatFabric.
Este panorama de posibilidades de acción remota contra Android tiene una gran demanda entre los ciberdelincuentes, por lo que los investigadores esperan que Brokewell se desarrolle aún más y se ofrezca a otros atacantes en foros clandestinos como parte de una operación de malware como servicio (MaaS).
Prevención contra Brokewell
La primera y fundamental medida que debe tomarse para evitar ser víctima de Brokewell es evitar descargar aplicaciones o actualizaciones de aplicaciones desde fuera de Google Play. La segunda es activar Play Protect, o asegurarse de que está activo en el dispositivo en todo momento. Esta herramienta de Google, comprueba la seguridad de las aplicaciones de Google Play Store antes de descargarlas; analiza el dispositivo en busca de aplicaciones potencialmente dañinas que provengan de otras fuentes, como es, precisamente, el malware; advierte de aplicaciones potencialmente dañinas y puede desactivar las estas aplicaciones maliciosas o quitarlas del dispositivo.
Google Play Protect está activado de forma predeterminada. Para verificar en qué estado se encuentra, es necesario abrir la aplicación Google Play Store. Luego buscar arriba a la derecha el icono del perfil e ingresar. Allí hay que tocar “Play Protect” y después “Ajustes”. En esa pantalla se puede activar o desactivar la función “Analizar aplicaciones con Play Protect”.