Будьте обережні з цим додатком, адже він насправді є вірусом

Чим небезпечний вірус Brokewell і як він потрапляє на смартфон?

Кіберзлочинці розгорнули масштабну операцію, використовуючи рекламні платформи компанії Meta для поширення нового шкідливого програмного забезпечення Brokewell для Android. Кампанія, що триває щонайменше з 22 липня, використовує близько 75 локалізованих рекламних оголошень, які імітують вигляд і брендинг популярного сервісу для трейдерів і криптовалюти TradingView, пише 24 Канал з посиланням на Bleeping Computer.

Схема розрахована виключно на користувачів мобільних пристроїв:

• Якщо перейти за рекламним посиланням з комп'ютера, відкриється безпечний контент.
• Однак при переході зі смартфона на Android користувач потрапляє на фішингову сторінку, що копіює офіційний сайт TradingView. На цьому сайті жертві пропонують завантажити шкідливий файл tw-update.apk.

Після встановлення фальшивий застосунок запитує дозвіл на використання спеціальних можливостей (Accessibility Services). Як тільки користувач надає цей дозвіл, на екрані з'являється підроблене повідомлення про оновлення. Поки воно приховує реальні дії, шкідливе ПЗ у фоновому режимі надає собі всі необхідні дозволи для повноцінної роботи. Крім того, вірус намагається виманити код для розблокування пристрою, імітуючи стандартний запит на оновлення системи Android, який нібито вимагає підтвердження паролем.

За даними фахівців з кібербезпеки компанії Bitdefender, які досліджували цю загрозу, фейковий застосунок TradingView є вдосконаленою версією вірусу Brokewell. Цей шкідник, відомий з початку 2024 року, має широкий арсенал інструментів для стеження, віддаленого керування та крадіжки даних.

Можливості Brokewell включають:

• Викрадення фінансової інформації. Вірус сканує пристрій у пошуках номерів банківських рахунків (IBAN), а також даних про криптовалютні гаманці Bitcoin, Ethereum та USDT.
• Обхід двофакторної автентифікації. Шкідливе ПЗ здатне викрадати та експортувати коди з Google Authenticator.
• Крадіжка облікових даних. Brokewell використовує так звані оверлейні атаки – показує фальшиві екрани входу поверх справжніх застосунків, щоб перехопити логіни та паролі.
• Шпигунство. Вірус може записувати все, що відбувається на екрані, реєструвати натискання клавіш, викрадати файли cookie з браузерів, активувати камеру та мікрофон, а також відстежувати геолокацію пристрою.
• Перехоплення повідомлень. Він захоплює контроль над стандартним додатком для SMS, що дозволяє читати повідомлення, включно з кодами від банків та сервісів для підтвердження операцій.
• Віддалене керування. Зловмисники можуть надсилати команди на заражений пристрій через Tor або WebSockets. Загалом вірус підтримує понад 130 команд, серед яких відправка SMS, здійснення дзвінків, видалення застосунків і навіть самознищення шкідливого ПЗ.

Дослідники зазначають, що ця кампанія є частиною більшої операції, яка раніше була націлена на користувачів Windows. Тоді зловмисники також використовували рекламу у Facebook, видаючи себе за десятки відомих брендів.