Будьте осторожны с этим приложением, ведь оно на самом деле является вирусом

Александр Гайдамашко

Основные тезисы

Мошенники используют рекламные платформы Meta для распространения вируса Brokewell, маскируя его под популярное приложение для трейдеров TradingView.
Вирус Brokewell похищает финансовую информацию, обходит двухфакторную аутентификацию, перехватывает учетные данные, шпионит за пользователем и предоставляет злоумышленникам удаленный контроль над устройством.

Вирус Brokewell для Android – как защитить свой смартфон от новой угрозы

Новый вирус для Android маскируется под приложение для трейдинга и криптовалют / Unsplash

Мошенники запустили новую рекламную кампанию в соцсетях Meta, нацеленную на пользователей Android. Они предлагают бесплатную премиум-версию популярного приложения, но на самом деле распространяют опасное вредоносное программное обеспечение. Эта схема позволяет злоумышленникам получать полный контроль над устройствами своих жертв и похищать конфиденциальную информацию.

Чем опасен вирус Brokewell и как он попадает на смартфон?

Киберпреступники развернули масштабную операцию, используя рекламные платформы компании Meta для распространения нового вредоносного программного обеспечения Brokewell для Android. Кампания, длящаяся по меньшей мере с 22 июля, использует около 75 локализованных рекламных объявлений, которые имитируют вид и брендинг популярного сервиса для трейдеров и криптовалют TradingView, пишет 24 Канал со ссылкой на Bleeping Computer.

Схема рассчитана исключительно на пользователей мобильных устройств:

Если перейти по рекламной ссылке с компьютера, откроется безопасный контент.
Однако при переходе со смартфона на Android пользователь попадает на фишинговую страницу, копирующую официальный сайт TradingView. На этом сайте жертве предлагают загрузить вредоносный файл tw-update.apk.

После установки фальшивое приложение запрашивает разрешение на использование специальных возможностей (Accessibility Services). Как только пользователь предоставляет это разрешение, на экране появляется поддельное сообщение об обновлении. Пока оно скрывает реальные действия, вредоносное ПО в фоновом режиме предоставляет себе все необходимые разрешения для полноценной работы. Кроме того, вирус пытается выманить код для разблокировки устройства, имитируя стандартный запрос на обновление системы Android, который якобы требует подтверждения паролем.

По данным специалистов по кибербезопасности компании Bitdefender, которые исследовали эту угрозу, фейковое приложение TradingView является усовершенствованной версией вируса Brokewell. Этот вредитель, известен с начала 2024 года, имеет широкий арсенал инструментов для слежки, удаленного управления и кражи данных.

Возможности Brokewell включают:

Похищение финансовой информации. Вирус сканирует устройство в поисках номеров банковских счетов (IBAN), а также данных о криптовалютных кошельках Bitcoin, Ethereum и USDT.
Обход двухфакторной аутентификации. Вредоносное ПО способно похищать и экспортировать коды из Google Authenticator.
Кража учетных данных. Brokewell использует так называемые оверлейные атаки – показывает фальшивые экраны входа поверх настоящих приложений, чтобы перехватить логины и пароли.
Шпионаж. Вирус может записывать все, что происходит на экране, регистрировать нажатия клавиш, похищать файлы cookie из браузеров, активировать камеру и микрофон, а также отслеживать геолокацию устройства.
Перехват сообщений. Он захватывает контроль над стандартным приложением для SMS, что позволяет читать сообщения, включая коды от банков и сервисов для подтверждения операций.
Удаленное управление. Злоумышленники могут отправлять команды на зараженное устройство через Tor или WebSockets. В общем вирус поддерживает более 130 команд, среди которых отправка SMS, совершение звонков, удаление приложений и даже самоуничтожение вредоносного ПО.

Исследователи отмечают, что эта кампания является частью более крупной операции, которая ранее была нацелена на пользователей Windows. Тогда злоумышленники также использовали рекламу в Facebook, выдавая себя за десятки известных брендов.