Android-plattformen er belemret med mange skadevaretrusler, og nå har det dukket opp enda en. Denne gangen er det først og fremst bankkunder som er i skuddlinjen.
Det nederlandske sikkerhetsselskapet Threat Fabric har publisert en ny rapport som beskriver en skadevarefamilie døpt «Brokewell» – en banktrojaner med mange farlige egenskaper. The Hacker News har skrevet om saken.
Stjeler mange typer data
Brokewell er designet for å stjele data, men har også evnen til å kontrollere enheten til brukeren – noe som gjør programvaren ekstra farlig, ifølge sikkerhetsselskapet.
Skadevaren besitter en lang rekke egenskaper, deriblant «overlay»-funksjonalitet, hvor ofrene lures til å gi fra seg data via falske vinduer fra tilsynelatende legitime institusjoner, som banker.
Den kan også stjele informasjonskapsler, inkludert de midlertidige øktinformasjonskapslene (session cookies) som brukes til autentisering av brukeren og som slettes straks økten er over.
Ifølge Threat Fabric sender Brokewell-skadevaren disse øktinformasjonskapslene til hackernes server straks offeret har fullført innloggingsprosessen. Dette gjør skadevaren ekstra farlig, særlig i forbindelse med bankrelaterte aktiviteter.
I tillegg kommer programvaren med det sikkerhetsselskapet kaller «accessibility logging»-funksjonalitet, som innebærer at den kan registrere tilnærmet all aktivitet på den kompromitterte enheten.
Dette inkluderer blant annet interaksjonen med berøringsskjermen på mobilen, informasjon som vises på skjermen, tekst som brukeren skriver og applikasjoner som åpnes av brukeren. Alt dette sendes til angripernes server.
Kan ta over enheten
Egenskapene omfatter også evnen til å samle inn informasjon om enhetens lokasjon, og skadevaren kan i tillegg skaffe seg tilgang til samtalehistorikken på mobilen.
Som om ikke dette var nok, kan programvaren også ta opp lyd fra mobilen som kan brukes til å spionere på brukeren og potensielt samle inn data som kan brukes til ytterligere ugagn.
Ikke minst har Brokewell såkalt «device takeover»-funksjonalitet, som setter angriperne i stand til å utføre en rekke forskjellige kommandoer på enheten. Disse omfatter blant annet strømming av skjerminnholdet, emulering (etterligning) av berøringskommandoer, klikking på spesifikke elementer og mer.
– Vi forventer at denne skadevarefamilien vil fortsette å utvikle seg, med tanke på at vi har observert nesten daglige oppdateringer av skadevaren. Skadevarefamilier som Brokewell utgjør en betydelig risiko for kunder og finansinstitusjoner og fører til vellykkede svindeltilfeller som er vanskelige å oppdage uten tilstrekkelige oppdagelsesmekanismer, skriver Threat Fabric.
Sikkerhetsselskapet oppdaget skadevaren hovedsakelig via falske nettleseroppdateringer til Chrome, men generelt finnes det mange måter å distribuere slik programvare på, for eksempel phishing og infiserte apper.
Mer informasjon om Brokewell finner du i Threat Fabrics gjennomgang.