Un grupo de investigadores de CRIL han identificado un nuevo troyano bancario para Android, apodado «Brokewell», que imita ser una actualización del navegador Google Chrome. Este malware posee funciones avanzadas como grabación de pantalla, registro de teclas y la capacidad de ejecutar más de 50 comandos remotos, apuntando principalmente a usuarios en Alemania, pero con indicativos de una posible expansión global.
El equipo de CRIL (Centro de Respuesta a Incidentes de Ciberseguridad) ha descubierto un troyano bancario denominado «Brokewell» dirigido a dispositivos Android. Este troyano fue detectado en un sitio de phishing y se camuflaba bajo la apariencia del sitio oficial de actualizaciones de Chrome. Los usuarios, al visitar el sitio «hxxp://makingitorut[.]com», son engañados para descargar un archivo APK malicioso denominado «Chrome.apk», bajo la premisa de una actualización necesaria para corregir «vulnerabilidades importantes».
Este troyano destaca por sus múltiples capacidades maliciosas, incluyendo la grabación de pantalla y audio, registro de teclas, recolección de datos del teléfono, y gestión de llamadas. También utiliza técnicas de superposición para capturar credenciales bancarias mediante una falsa pantalla de PIN, inicialmente localizada en alemán. Además, el análisis del código fuente alojado en un repositorio git y vinculado a perfiles en foros subterráneos, revela su desarrollo activo y potencial para eludir las restricciones de permisos en las últimas versiones de Android (13, 14 y 15). Luego, el PIN se almacena en un archivo de texto para su uso posterior. Si bien inicialmente las investigaciones llevan a pensar que es un malware dirigido al público alemán, también se encontraron cadenas en chino, francés, finlandés, árabe, indonesio, sueco, portugués e inglés. Estas cadenas sugieren que el malware podría ampliar sus objetivos con la aparición de iteraciones posteriores que incorporen características adicionales.
El troyano se comunica con un servidor de comando y control alojado en la dirección «mi6[.]operationanonrecoil[.]ru», lo que facilita la gestión remota del malware. A pesar de estar en etapas tempranas de desarrollo, Brokewell posee un enfoque claro hacia la innovación en técnicas de ataque y camuflaje, lo que sugiere futuras iteraciones más sofisticadas. La detección de Brokewell subraya la continua evolución del malware bancario y la necesidad de una vigilancia constante por parte de los usuarios y los profesionales de seguridad. La elección del alemán como idioma inicial para la pantalla de PIN falsa indica una focalización geográfica, aunque las cadenas en otros idiomas sugieren preparativos para expandir su alcance a más países. Los usuarios deben estar especialmente cautelosos con las actualizaciones de software y verificar siempre las fuentes oficiales antes de proceder con cualquier descarga.
Este malware ha sido encontrado en un repositorio git, donde se describió como capaz de eludir las restricciones basadas en permisos en las versiones 13, 14 y 15 de Android. El repositorio git contenía enlaces a perfiles en foros clandestinos, una página Tor y un canal de Telegram.
La página Tor dirigía a la página personal de los desarrolladores de malware, donde informaban de sus proyectos presentes y futuros. Dado que los investigadores de CRIL no observaron ninguna mención del troyano bancario de Android en el sitio. Se supone que el troyano es un desarrollo muy reciente que podría aparecer en los próximos días.
Aprovechamos esta noticia para informaros que nuestro partner koodous.com estrena nueva web, más dinámica, accesible y con más información a disposición de las personas interesadas en amenazas. Nos comentan que llegó una primera muestra, la cual podéis encontrar en su plataforma, y en breve habrá una nueva revolución en cuanto a capacidad y acceso a información vital ante amenazas.
Más información:
https://thecyberexpress.com/android-banking-trojan-targeting-germans/
https://x.com/koodous_project/status/1785176044812599568
La entrada Nuevo troyano bancario para Android: Brokewell, disfrazado de una actualización de Chrome se publicó primero en Una al Día.
