Los investigadores de ciberseguridad han detectado un nuevo troyano denominado Brokewell, el cual se camufla como una actualización de Chrome en dispositivos Android y otorga a los ciberdelincuentes acceso remoto a todos los recursos disponibles a través de la banca móvil.

Un troyano es un tipo de programa malicioso que se esconde dentro de un archivo ejecutable aparentemente legítimo. Una vez descargado, este archivo accede al dispositivo con el propósito de ejecutar acciones maliciosas, como el robo de información.

Analistas de la firma de seguridad ThreatFabric han identificado esta nueva familia de malware móvil, Brokewell, que representa una amenaza significativa para la industria bancaria, según lo señalado en un comunicado oficial.

Brokewell parece estar en desarrollo activo, con nuevos comandos añadidos casi a diario. Es capaz de evadir las restricciones de Android 13+ y se disfraza como una actualización de Google Chrome. Los ciberdelincuentes introducen una interfaz similar a la página de descarga legítima del navegador, utilizando ataques de superposición para engañar a los usuarios.

Esta técnica de superposición implica mostrar una pantalla falsa sobre una aplicación específica para capturar las contraseñas del usuario. Además, el troyano puede robar cookies de sesión y enviarlas a un servidor de comando y control (C2).

Una vez que los ciberdelincuentes obtienen las credenciales de acceso, pueden iniciar ataques para tomar el control de los dispositivos. El malware transmite la pantalla al servidor, permitiendo a los agentes maliciosos ejecutar comandos específicos.

Brokewell también está equipado con un registro de accesibilidad que captura cada evento en el dispositivo, como pulsaciones en la pantalla o información de aplicaciones abiertas. Además de vigilar la actividad de las víctimas, el troyano puede recopilar información sobre el dispositivo, historial de llamadas, geolocalización y grabar audio.

ThreatFabric sugiere que Brokewell podría ser promocionado en canales clandestinos, lo que podría atraer el interés de otros ciberdelincuentes. Además, el archivo de almacenamiento del troyano contiene el código fuente de Brokewell Android Loader, otra herramienta diseñada para evitar restricciones en Android 13+.

Esto podría tener un impacto significativo en el panorama de amenazas, ya que más actores podrían eludir las restricciones del sistema operativo, convirtiéndose en una característica común para la mayoría de las familias de malware móvil.

Los expertos sugieren que Baron Samedit, el desarrollador de Brokewell, ha estado activo durante al menos dos años, proporcionando herramientas para verificar cuentas robadas de múltiples servicios.

Estas familias de malware representan un riesgo importante para los clientes de instituciones financieras, resultando en casos de fraude difíciles de detectar sin las medidas adecuadas.