- Pesquisadores de segurança descobrem novo malware bancário chamado ‘Brokewell’
- Um vírus que rouba dinheiro se fez passar pelo Google Chrome
- Ao fazê-lo, basta ler atentamente os avisos do sistema
Os hackers lançaram um novo malware que drena contas bancárias para todo o mundo, apropriadamente chamado de “Brokewell”. Cavalo de Tróia Brokewell atualmente afirma ser uma atualização Navegador Google Chrome para Android, usando anúncios falsos do Google. Portanto, pode-se dizer que ele tem como alvo usuários avançados e depende deles serem excessivamente confiantes e imprudentes ao concordarem com solicitações de permissão.
Como funciona Brokewell
O pacote de malware contém um conjunto de ferramentas de spyware capazes de monitorar secretamente e controlar remotamente dispositivos móveis. Pior ainda, de acordo com o relatório de segurança da equipe, parece que Brokewell está em desenvolvimento ativo, com novos comandos sendo adicionados quase diariamente. Pesquisadores de segurança alertam que Brokewell “Ele pode coletar informações do dispositivo, histórico de chamadas, geolocalização e gravar áudio“.
Brokewell está atualmente disfarçado como uma atualização do Google Chrome para Android e às vezes até se faz passar por anúncios do Google para atualizações (exemplo acima). Os pesquisadores de segurança cibernética da ThreatFabric identificaram Brokewell pela primeira vez por meio de anúncios falsos de atualização do Google Chrome, mas sua análise retrospectiva revelou outras campanhas de hackers anteriores usando o malware.
De acordo com o ThreatFabric, Brokewell usa duas táticas cada vez mais comuns, populares com malware bancário móvel semelhante para crimes cibernéticos. Primeiro, ele usa uma sobreposição que cria uma tela falsa sobre o aplicativo bancário visado para roubar as credenciais do usuário enquanto o usuário real as insere. Além disso, Brokewell rouba os cookies de sessão usados pelo aplicativo bancário, para que o hacker possa posteriormente contornar medidas de segurança como autenticação de dois fatores.
Os cookies de sessão são cookies temporários que são eliminados do dispositivo assim que o utilizador fecha o navegador. Ao roubá-los, os hackers podem colocá-los em novas sessões da web e essencialmente se passar pelo usuário original sem precisar provar sua identidade.
Depois de roubar credenciais, os atores podem lançar um ataque de controle de dispositivo usando recursos de controle remoto, alertou ThreatFabric em seu relatório. O malware realiza streaming de tela e fornece ao ator [tj. hackerovi] uma série de ações que podem ser realizadas no dispositivo controlado, como tocar, deslizar e clicar em determinados elementos.
Durante a pesquisa, foi descoberto outro dropper (malware que abre as portas para futuras cargas de malware) que contorna as restrições do Android 13+. A ThreatFabric disse que foi capaz de rastrear alguns dos servidores que o híbrido malware/spyware usa: um ponto de comando e controle (C2) para gerenciar os dispositivos infectados de suas vítimas.
Os hackers também hospedam descaradamente um repositório para seu código, completo com um “leia-me” sob o nome “Brokewell Cyber Labs” e o nome do autor “Baron Samedit”. O nome é um trocadilho com o Barão Samedi, uma figura da cultura vodu haitiana que ficou famosa pelo vilão homônimo de James Bond no filme Viva e Deixe Morrer, de 1973.
Com o que se preocupar
Embora à primeira vista este seja um ataque sofisticado para usuários mais avançados, a vítima deve se comportar de maneira incrivelmente desleixada. Eles precisam baixar o arquivo, instalá-lo e, em seguida, confirmar o aviso do aplicativo bancário, que geralmente avisa quando algo no sistema está usando a sobreposição. Você nem precisa de antivírus, apenas não clique em todos os avisos.
Você já foi infectado por malware?
Fonte: Threatfabric, correio diário