Molti malware e trojan già oggi possono svuotare i conti correnti delle proprie vittime. Ma non fingendo di essere un’applicazione che praticamente viene usata da tutti ogni giorno, come Google Chrome. Purtroppo al mondo esistono anche questi trojan, come Brokewell. Recentemente scoperto da ThreatFabric, questo malware è capace di fingersi un aggiornamento di Chrome, in modo da entrare indisturbato dentro lo smartphone Android del malcapitato e accedere alle sue applicazioni di home banking.
Brokewell, come fingere di essere Chrome per svuotare i conti correnti
In un report dei ricercatori di ThreatFabric riportato da Bleeping Computer, è stato recentemente scoperto un nuovo trojan bancario per Android: Brokewell. Questo malware, oltre a riuscire nel furto di dati, è capace di prendere il controllo remoto del dispositivo, una volta avuto accesso ai suoi dati.
Ma come ci riesce? Fingendosi un update di Chrome. Riassumendo il suo processo di infezione, Brokewell inizia come avviso sulla pagina: invita l’utente ad installare il prima possibile “questo” aggiornamento di Chrome.
Ovviamente si tratta in realtà di pagina fake: basterebbe evitarla e non ci sono più problemi. Se invece si crede all’avviso, il malware viene scaricato sullo smartphone quando l’utente clicca sul pulsante per il download.
E dopo Chrome, Brokewell si camuffa anche da pagina bancaria. Sfruttando la tecnica dell’overlay, il trojan mostra alla vittima una schermata di login fasulla dell’app bancaria vera e propria. Se si digitano e si inviano le credenziali di accesso, esse finiscono quindi nelle mani dei cybercriminali.
Tutto quello che può fare il trojan
Oltre a rubare i dati inseriti sulla pagina fake, Brokewell è in grado di fare un sacco di altre attività criminose. Non a caso, gli stessi ricercatori hanno scoperto che un malware simile era già stato utilizzato in passato, per colpire gli utenti di Klarna.
Infatti Brokewell è capace anche di:
- rubare i cookie di sessione;
- catturare tutte le interazioni (tap, swipe, input di testo e altre);
- raccogliere informazioni hardware e software sul dispositivo;
- recuperare la cronologia delle chiamate;
- registrare l’audio tramite microfono.
Più il citato controllo remoto, reso possibile una volta che gli hacker hanno ottenuto le credenziali bancarie del malcapitato. Tramite controllo remoto, essi possono vedere lo schermo in tempo reale, se non eseguire gesture o cliccare specifici elementi. Addirittura possono simulare pulsanti fisici e cambiare le impostazioni a piacimento.
Gli utenti devono fare attenzione, e aggiornare le app solo tramite Play Store, anche perché, come Google ha comunicato, fortuna vuole che Play Protect rileva Brokewell e lo blocchi in tempo. Almeno questa versione, su uno dei server C2 è stato individuato Brokewell Android Loader, capace di aggirare le restrizioni introdotte con Android 13 per i servizi di accessibilità.
