MADRID, 30 de abril. (Portal/EP) – Investigadores de ciberseguridad han descubierto un troyano, llamado Brokewell, que se hace pasar por una actualización de Chrome en Android y brinda a los ciberdelincuentes acceso remoto a todos los activos disponibles a través del móvil bancario. Un caballo de Troya es un tipo de ‘malware’ incrustado en un archivo ejecutable que parece legítimo.
Esto significa que una vez descargado, el archivo accederá al dispositivo con la intención de realizar acciones maliciosas, como robar información. Los analistas de la firma de seguridad ThreatFabric han descubierto una nueva familia de malware móvil, llamada Brokewell, que representa una amenaza significativa para la industria bancaria, como señalaron en un comunicado. El troyano Brokewell, que parece estar en desarrollo activo y agregando nuevos comandos casi a diario, es capaz de eludir las restricciones de Android 13+ y aparece como una actualización de Google Chrome.
En concreto, los ciberdelincuentes introducen una interfaz muy similar a la página de descarga de un navegador legítimo, ocultando así malware bancario y utilizando ataques de superposición. Esta es una técnica común de este tipo de malware, donde superpone una pantalla falsa en una aplicación en particular para capturar las credenciales del usuario. Asimismo, es capaz de robar cookies de sesión y enviarlas al servidor de comando y control (C2).
De esta forma, una vez que tengan las credenciales de acceso, los ciberdelincuentes pueden lanzar un ataque para apoderarse del dispositivo. Para lograrlo, el “malware” transmite la pantalla al servidor, desde donde los actores maliciosos pueden ejecutar ciertos comandos. Los responsables de la investigación también señalaron que Brokewell está equipado con un registro de acceso, que registra cada evento que ocurre en el dispositivo, es decir, las pulsaciones de teclas en la pantalla o la información que muestran las aplicaciones.
Además de monitorear las actividades de la víctima, el troyano también admite varias funciones de ‘spyware’, lo que significa que puede recopilar información del dispositivo, historial de llamadas, geolocalización y grabación de audio. FUNCIONANDO DURANTE DOS AÑOS ThreatFabric señala que es posible que el troyano cuyos desarrolladores no ocultan su identidad – ya que su repositorio, Brokewell Cyber Labs, lleva la firma ‘Baron Samedit’ – se promocione en canales secretos y confidenciales, lo que puede atraer el interés de otros. Este archivo también contiene el código fuente de Brokewell Android Loader -para teléfonos móviles con este sistema operativo-, otra herramienta del mismo desarrollador diseñada para evitar las limitaciones de Android 13+ en la traducción del servicio de accesibilidad para aplicaciones de carga lateral.
Según la investigación, esto tendrá un impacto significativo en el panorama de amenazas, ya que más atacantes tendrán la capacidad de eludir estas limitaciones del sistema operativo, lo que podría convertirse en una característica común en la mayoría de las cepas de malware móvil. Por otro lado, los expertos estiman que el “Baron Samedit” lleva activo al menos dos años y que anteriormente proporcionó herramientas a otros ciberdelincuentes para probar cuentas robadas en varios servicios. En última instancia, los investigadores destacan que estas familias de ‘malware’ plantean riesgos importantes para los clientes de las instituciones financieras, dando lugar a casos exitosos de fraude que, de otro modo, serían difíciles de detectar.
