Оновлювати Google Chrome стало небезпечно, і ось чому

У мережі виявлено небезпечного трояна, який полює за банківськими даними користувачів. Він розповсюджується під виглядом оновлення браузера.

Дослідники безпеки натрапили на фейкову сторінку Google, яка пропонує супербезпечне оновлення для браузера Google Chrome. Сайт повністю копіює оригінальні шрифти та оформлення, а за натисканням на кнопку «Оновити Chrome» завантажується троян Brokewell із цілим букетом шкідливих можливостей:

• імітація сторінок входу до системи для цільових додатків (для крадіжки облікових даних цих додатків);
• власний WebView для перехоплення та вилучення cookie після авторизації користувача на оригінальному сайті;
• перехоплення будь-яких дій користувача — натискань, свайпів та тексту, щоб фіксувати будь-які дані, що відображаються або введені на пристрої;
• збір інформації про «залізо» та ПЗ зараженого девайсу;
• викрадення журналів викликів;
• визначення геолокації пристрою;
• перехоплення звуку через вбудований мікрофон пристрою;
• демонстрація екрану пристрою хакеру як реального часу;
• віддалена імітація жестів (дотику та свайпи);
• віддалене керування інтерфейсом смартфона – натискання на кнопки, вибір меню тощо;
• імітація прокручування та введення тексту у зазначені поля;
• імітація натискання фізичних кнопок («Назад», «Додому» та «Останні додатки»);
• віддалене включення екрана пристрою для створення та викрадення скріншотів;
• регулювання яскравості та гучності.

Розробник Brokewell – анонім з ніком Baron Samedit, який вже близько двох років торгує інструментами для обробки вкрадених облікових записів. У ході дослідження було знайдено ще один шкідливий компонент Brokewell Android Loader від того ж автора; він вміє обходити захист Google, впроваджений в Android 13 і новіший.