Falešná aktualizace Chrome cílí na pokročilé uživatele. Pak vám vysaje úspory
Libor Foltýnek
- Bezpečnostní výzkumníci odhalili nový bankovní malware s názvem „Brokewell“
- Virus, který krade peníze, se vydával za Google Chrome
- Přitom stačí číst pozorně varování od systému
Hackeři vypustili do světa nový malware, který vyčerpává bankovní účty, příhodně pojmenovaný „Brokewell“. Trojský kůň Brokewell se v současné době vydává za aktualizaci prohlížeče Google Chrome pro Android, a to pomocí falešných reklam rádoby od společnosti Google. Dá se tedy říct, že cílí na pokročilé uživatele a spoléhá na to, že budou příliš sebevědomí a lehkomyslní při odsouhlasení požadavků na oprávnění.
Jak Brokewell pracuje
Malwarová sada obsahuje sadu spywarových nástrojů schopných skrytě sledovat a vzdáleně ovládat mobilní zařízení. Ještě horší je, že podle bezpečnostní zprávy týmu se zdá, že Brokewell je v aktivním vývoji, přičemž nové příkazy jsou přidávány téměř denně. Bezpečnostní výzkumníci varují, že Brokewell „Může shromažďovat informace o zařízení, historii hovorů, geolokaci a nahrávat zvuk„.
Vlevo korektní reklama od Google, vpravo falešnáBrokewell se v současné době vydává za aktualizaci prohlížeče Google Chrome pro Android a občas se dokonce vydává za reklamy Googlu na aktualizace (příklad výše). Výzkumníci v oblasti kybernetické bezpečnosti ve firmě ThreatFabric nejprve identifikovali Brokewell prostřednictvím falešných reklam na aktualizaci prohlížeče Google Chrome, ale jejich retrospektivní analýza odhalila další předchozí hackerské kampaně využívající malware.
Brokewell podle ThreatFabric používá dvě stále častější taktiky, které jsou oblíbené u podobného malwaru pro mobilní bankovnictví pro kybernetické zločiny. Nejprve používá překryvné zobrazení, které vytvoří falešnou obrazovku nad cílenou bankovní aplikací, aby ukradly přihlašovací údaje uživatele, když je skutečný uživatel zadává. Dále Brokewell krade relační soubory cookie používané bankovní aplikací, takže hacker může později obejít bezpečnostní opatření, jako je dvoufaktorová autentizace.
Relační soubory cookie jsou dočasné soubory cookie, které se ze zařízení vymažou, jakmile uživatel zavře prohlížeč. Jejich krádeží je hackeři mohou umístit do nových webových relací a v podstatě se vydávat za původní uživatele, aniž by museli prokazovat jejich identitu.
Po krádeži přihlašovacích údajů mohou aktéři zahájit útok na převzetí zařízení pomocí možností vzdáleného ovládání, varoval ThreatFabric ve své zprávě. Malware provádí streamování obrazovky a poskytuje aktérovi [tj. hackerovi] řadu akcí, které lze provést na ovládaném zařízení, jako jsou dotyky, přejetí prstem a kliknutí na určité prvky.
Jakub Kárník
Během výzkumu byl objeven další dropper (malware, který otevírá brány pro budoucí užitečné zatížení malwaru), který obchází omezení Androidu 13+. Společnost ThreatFabric uvedla, že se jí podařilo vystopovat některé servery, které hybrid malwaru a spywaru používá: příkazový a řídicí bod (C2) pro správu infikovaných zařízení svých obětí.
Hackeři také bezostyšně hostují úložiště pro svůj kód, doplněné o „read me“ pod názvem „Brokewell Cyber Labs“ a jménem autora „Baron Samedit“. Název je slovní hříčkou s baronem Samedim, postavou haitské kultury voodoo, kterou proslavil stejnojmenný padouch Jamese Bonda ve filmu Žít a nechat zemřít z roku 1973.
Na co si dát pozor
Ačkoli na první pohled jde o sofistikovaný útok na pokročilejší uživatele, oběť se musí chovat naprosto neuvěřitelně lajdácky. Musí stáhnout soubor, nainstalovat ho a pak potvrdit varování od bankovní aplikace, která většinou upozorní na to, když v systému něco využívá překryvné zobrazení. Nepotřebujete ani antivir, stačí neodklikávat všechna varování.
Už jste se někdy nakazili malware?
Zdroj: Threatfabric, Daily mail
Adam Kurfürst
Komentáře (2)
Přidat komentář