La società di cybersecurity ThreatFabric ha identificato una nuova minaccia informatica rivolta al settore bancario. Si tratta del malware chiamato “Brokewell“, capace di rubare dati sensibili degli utenti, tra cui i cookie, e di consentire agli attaccanti un completo accesso remoto ai dispositivi Android.
Secondo quanto riportato da ThreatFabric e pubblicato per la prima volta su SecurityWeek, “Brokewell” rappresenta una significativa minaccia per il settore bancario, offrendo agli attaccanti un accesso remoto a tutte le risorse disponibili tramite il mobile banking”. Il Trojan è attualmente in fase di sviluppo attivo, con nuovi comandi che vengono aggiunti quasi quotidianamente.
Gli hacker ingannano le vittime inducendole a installare il malware “Brokewell” sui loro dispositivi Android, spesso camuffato da una falsa pagina di “aggiornamento” del browser web Google Chrome. Questa pagina imita il design, il layout e il testo di un autentico prompt di installazione di Chrome, sebbene presenti evidenti errori grammaticali che ne denunciano la falsità.
Una volta installato, il malware permette agli attaccanti di spiare liberamente il dispositivo della vittima per rubare credenziali di accesso finanziario o persino interagire direttamente con lo schermo del telefono per sottrarre fondi. Inoltre, il trojan per Android consente altre funzioni di presa di controllo del dispositivo, come disegnare sullo schermo, spostarsi tra le schermate o simulare movimenti di scorrimento. Gli attaccanti possono anche infastidire o prendere in giro la vittima inviando vibrazioni incessanti, attivando lo schermo del telefono o modificando il livello di luminosità dello stesso.
Vendita e distribuzione del malware
ThreatFabric ha rivelato che un individuo che si fa chiamare “Baron Samedit Marais” ha rivendicato la creazione del malware e sta presumibilmente vendendo il malware “Brokewell” insieme a una gamma di altri strumenti malevoli tramite un sito denominato “Brokewell Cyber Labs”. In passato, il malware ha preso di mira gli account Klarna e una schermata condivisa dalla società di sicurezza informatica suggerisce che il cybercriminale potrebbe offrire anche strumenti che prendono di mira conti PayPal, Amazon, Dropbox, Apple e American Express.
La ThreatFabric prevede un’ulteriore evoluzione di questa famiglia di malware, dato che sono stati già osservati aggiornamenti quasi giornalieri. È probabile che “Brokewell” venga promosso nel Dark Web come un servizio a noleggio, attirando l’interesse di altri cybercriminali e innescando nuove campagne mirate a diverse regioni.
Mentre il malware specifico per Android non è una novità, con oltre una dozzina di app nel Google Play Store trovate contenenti un tipo di malware che permette il completo controllo del dispositivo lo scorso anno, è possibile proteggersi. Esistono app di protezione antivirus e antimalware per dispositivi Android che monitorano collegamenti pericolosi durante la navigazione online e possono ripulire i dispositivi infetti se necessario.