O universo do malware continua a evoluir e a trazer para a ribalta novos atores. A utilização de recursos de “Device Takeover” entre os hackers menos bem-intencionados parece estar na moda e é aí que entra um novo protagonista, identificado pela empresa de cibersegurança ThreatFabric.

O Brokewell, como foi chamado, é um malware bancário que se disfarça habilmente de atualização do Google Chrome. Pode roubar cookies e registar tudo o que faz no telefone ou tablet ou mesmo assumir o comando para fazer transferências de dinheiro e alterar passwords.

Os analistas do ThreatFabric encontraram o malware numa página falsa de atualização do browser, projetada para enganar as pessoas e fazê-las descarregar a aplicação maliciosa.

De acordo com o explicado, o Brokewell usa ataques de sobreposição para mostrar uma página de login falsa para roubar credenciais de utilizador. Além disso, é capaz de enviar todos os cookies da sessão para um servidor de comando e controle (C2), quando os utilizadores fazem login num site.

Também permite registar tudo o que é feito no dispositivo infetado, desde toques até à entrada de texto e abertura de aplicações. Tudo isso é enviado para o servidor C2, dando aos hackers acesso a uma grande quantidade de dados privados.

Para piorar a situação, os cibercriminosos podem ainda recorrer às capacidades de Device Takeover para assumir o controlo total do telefone ou tablet e usar as informações recolhidas para iniciar transferências bancárias, alterar passwords e muito mais.

A ThreatFabric destaca alguns pontos do Brokewell. Clique nas imagens para mais detalhe.

“A análise das amostras revelou que o Brokewell representa uma ameaça significativa para o sector bancário, dando aos invasores acesso remoto a todos os ativos disponíveis através do mobile banking”, escreve a ThreatFabric no relatório. “O trojan parece estar em desenvolvimento ativo, com novos comandos adicionados quase diariamente”, acrescenta.

A empresa considera que a descoberta do Brokewell mostra a procura crescente por capacidades de Device Takeover entre os cibercriminosos e prevê uma maior evolução desta família de malware. “O Brokewell provavelmente será promovido em canais clandestinos como um serviço de aluguer, atraindo o interesse de outros cibercriminosos e desencadeando novas campanhas direcionadas a diferentes regiões”.