資安業者ThreatFabric發現名為Brokewell的安卓金融木馬,並指出該惡意程式具備廣泛的設備接管功能,甚至能繞過Android 13新納入的防護機制。

這個惡意程式被發現的原因,是研究人員看到冒牌的Google Chrome更新網頁,與正牌網頁極為相似,不同之處在於:正牌網頁同時提供「取得Chrome」和「我想更新Chrome」的連結,冒牌網頁只有「更新Chrome」的按鈕。但這種差異,恐怕多數使用者都無法輕易察覺。

一旦使用者依照指示下載「瀏覽器更新」,手機就有可能被植入Brokewell。此惡意程式的主要功能,主要涵蓋了資料竊取及遠端控制能力。

其中,針對資料竊取的部分,該惡意程式可在銀行應用程式執行的過程進行覆蓋畫面,從而竊取帳密資料,而對於盜取相關資料的管道,攻擊者也可透過挖掘cookie內容而得。一旦使用者完成登入流程,Brokewell就會儲存連線階段的cookie,並傳送到C2伺服器。

另一方面,Brokewell也搭載名為Accessibility Logging的功能,從而截取受害裝置的所有事件,例如:使用者點選、滑動、文字輸入、開啟應用程式等,並且將其傳送到C2伺服器。此外,該惡意程式也具備多種間諜軟體功能,能夠收集裝置資訊、通話記錄、地理位置,而且還能錄音。

一旦竊得特定帳密資料,攻擊者就能透過遠端控制功能,對裝置進行接管。值得留意的是,對方能將螢幕亮度調到最暗,並將手機靜音,而使得暗中操作受害手機難以被察覺,甚至有可能被用來發動自動轉帳系統(Automated Transfer System,ATS)攻擊。

再者,攻擊者也開發了名為Brokewell Android Loader的惡意程式載入元件,從而繞過Google在Android 13加入輔助服務(Accessibility Service)管制,而能側載應用程式。

根據研究人員的觀察,Brokewell幾乎每天都有更新,顯示駭客相當勤勞,他們也推測,未來這項攻擊模式很有可能朝向租賃服務發展,從而吸引其他網路犯罪份子,以此對更多地區發動相關攻擊。

熱門新聞

Advertisement